PDA

Просмотр полной версии : AVZ 4.00 - тестирование, обсуждение, предложения по доработке



Страницы : [1] 2 3

Зайцев Олег
03.11.2005, 22:22
Вышла новая новая версия AVZ - 4.00. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz4.zip)
Радикальные новшества и пределки:
[++] Поддержка проверки цифровых подписей файлов по каталогу безопасности Microsoft. Работает естественно на Windows 2000, XP, W2K3 ... Поддерживается всеми подсистемами AVZ, может включаться/выключаться ключами командной строки или скриптом. Управляющий этим ключ WinTrustLevel=[0|1|2] описан в справке
[++] В AVZ встроена система обновления баз. Обновление идет с двух сайтов (истоник выбирается случайнум образом, но можно задать вручную)
и является "разумным", т.е. работает на основании сравнения текущих баз с эталонными. Это позволяет
проводить обновление вручную (обновлением файлов в папке Base) и автоматически через Интернет
[++] Менеджер планировщика заданий (Task Scheduler). Подключен к автокарантину и исследованию системы, показывает
задания, поставленные через графическую оболочку диспетчера и командой AT.
[++] Антируткит - добавлено детектирование FU Rootkit и его производных - производится в ходе поиска Kernel Mode руткитов, детектор подключен к диспетчеру процессов. Кроме FU руткита
отлавливается подмена PID процесса без его маскировки
[++] Антируткит - отслеживание маскировки файлов запущенных процессов
[++] Менеджер файла HOSTS. Добавлен к исследованию системы, позволяет удалять из Hosts записи.
[++] Диспетчер процессов - встроенный дампер образа любого загруженного exe или dll файла для последующего изучения. Дампы памяти создаются на диске в папке DMP
[+] Запуск автокарантина из меню "Файл"
[+] В исследовании системы проверяются драйвера, для которых не задано имя исполняемого файла (имя драйвера совпадает с
именем файла *.sys, такое допустимо)
[+] Доработан менеджер расширение IE - корректная поддержка записей типа "скрипт"
[+] К автоматическому анализу и автокарантину добавлены прогресс-индикаторы
[+] Пункт меню для выборочного контроля подлинности файла по каталогу Microsoft
[+] Доработаны проверки, проводимые в ходе расширенной эвристики - не выдаются сообщения на файлы нулевого размера, часть проверок маскировки имени оставлена только для исполняемых файлов
[+] Контроль целостности исполняемого файла avz.exe с выводом в протокол информации в случае его модификации
----------
В одной из версий 4.xx появится локализация - движек переработан для возможности перевода
----------
В новой версии база: 17598 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 357 микропрограмм эвристики, 8 микропрограмм восстановления настроек системы, 45167 подписей безопасных файлов

RiC
03.11.2005, 22:32
Вышла новая новая версия AVZ - 4.00. Версия доступна для загрузки тут: http://z-oleg.com/secur/avz-dwn.htm (http://z-oleg.com/avz4.zip)

http://z-oleg.com/avz4.zip Архив или битый, или у меня бьётся (маловероятно), второй раз уже кривой скачал.

Поздравляю с новой версией !!!

Зайцев Олег
03.11.2005, 22:37
http://z-oleg.com/avz4.zip Архив или битый, или у меня бьётся (маловероятно), второй раз уже кривой скачал.
Да, какой-то сбой у меня на FTP-загрузчике - я перезалил архив, теперь все должно загружаться

MOCT
03.11.2005, 22:39
http://z-oleg.com/avz4.zip Архив или битый, или у меня бьётся (маловероятно), второй раз уже кривой скачал.
у меня тоже битый :embarasse

Зайцев Олег
03.11.2005, 22:42
у меня тоже битый :embarasse
Да, там кусочек архива был выбит - какой-то сбой в ходе заливки ... сейчас все исправлено, я проверил - качается нормальный архив.

RiC
03.11.2005, 23:01
А почему архив называется AVZ4 а внутри архива каталог - AVZ3 ;) Или структура каталогов ещё не прошла Upgrade ?

1-й "баг" - "снять дамп" без подсказки, не нажмёшь - не догадаешься.
2 - Доработка - "в менеджере HOST" сделать кнопку - заменить на "стандартный" с удалением из Hosts всего лишнего кроме 127.0.0.1 localhost
3 - Ещё доработка - отложенное удаление по списку (не срочно, но Imho полезно чтобы не просить удалять по одному файлу, а сразу Copy/Pastle пачкой к примеру с форума).

Апдейтер проверил, работает, порадовал тем, что пошёл через прокси от эксплорера.

Зайцев Олег
03.11.2005, 23:08
А почему архив называется AVZ4 а внутри архива каталог - AVZ3 ;) Или структура каталогов ещё не прошла Upgrade ?

1-й "баг" - "снять дамп" без подсказки, не нажмёшь - не догадаешься.
Структура каталогов действительно еще не поменялась - я перезалил архив, в котором папка именуется уже AVZ4. Кстати, для тестирования автоапдейтера уже есть оперативное обновление (там правда всего 4 зверя добавлено)
1. Hint у кнопки снятия дампа есть, но его отображение я забыл включить :)
2. Да, это логично - сделаю. Кстати, при удалении строк из менеджера Hosts AVZ автоматом навешивает ему атрибуты Read Only

Cool Cat
03.11.2005, 23:51
Олег подскажи что нибуть на счёт...

У меня на этапе
1.2 Поиск перехватчиков API, работающих в KernelMode

проявляются
a347bus.sys
windrvNT.sys

Нужно ли с ними боротся или они не вреданосные?

Отступление:
С windrvNT.sys у меня связана очень печяльная картина,,, при работе с
программой Spybot Search & Destroy (S&D) v1.4, при сканировании системы на вредоносные обьекты
выскакивает экран смерти с нечетабельныим текстом единственое что можно разобрать это надпись "windrvNT" (после чего только жёсткая перезагруска ПК)
Что это?
Где то слыхал что "windrvNT" sys связан с работой венчестеров - но что то тут не то!

Geser
03.11.2005, 23:54
1. Окошко автообновлялки выглядит страшно.
2. Нажал обновить, чего-то там происошло но не понятно обновилось или нет. Нужно лог писать куда-то и результат обновления выводить.

MOCT
04.11.2005, 00:10
С windrvNT.sys у меня связана очень печяльная картина,,, при работе с
программой Spybot Search & Destroy (S&D) v1.4, при сканировании системы на вредоносные обьекты
выскакивает экран смерти с нечетабельныим текстом единственое что можно разобрать это надпись "windrvNT" (после чего только жёсткая перезагруска ПК)
Что это?
Где то слыхал что "windrvNT" sys связан с работой венчестеров - но что то тут не то!
программа "Folder Lock" установлена? деинсталлируйте ее, или просто удалите файл windrvNT.sys, и никаких синих экранов не будет.

RiC
04.11.2005, 00:17
Ну а a347bus.sys - это кусок от alcohol 120% с бортовым Rootkit`om, вроде не сильно глюкавая, если последняя версия.

Cool Cat
04.11.2005, 01:12
БОЛЬШОЕ СПАСИБО ТЕБЕ MOCT!!!! :)

Ну на конец то хоть кто то подсказал?

Канечно же стаяла!!! такая "зараза" я право снёс её похоже "коряво" (она меня хотела зоблакировать из-за неправельно введённого пароля)

А вот windrvNT сидит по адресу:

"Диспетчер устройств" > сверху кнопка "вид" > скрытые устройства > windrvNT

Теперь я с ним поквитаюсь!

PS. Извеняюсь что пост немного не в тему... но подозреваю что из за этой "твари" у меня иногда слетает AVZ при сканировании, это было на
версиях с v 3.81 и новая версия тоже сейчяс слетела......
(При сканировании C:/Windows/temp/.... - программа мгновенно закрывается)

Cool Cat
04.11.2005, 01:17
RiC ты Экстосенс! :)

Такая тоже имеет место у меня быть

PS. Спасибо.

ALEX(XX)
04.11.2005, 09:32
При архивировании файлов в карантине, было бы полезно какую-нибудь индикацию процесса архивирования сделать.

HATTIFNATTOR
04.11.2005, 11:06
Окно выбора файла в отложенном удалении не видит скрытые папки.

anton_dr
04.11.2005, 11:33
Что-то апдейт не работает. Хотя, это скорее всего прокся.

Grey
04.11.2005, 12:56
Скачал 4-ку, поставил на полное сканирование всех локальных дисков.
Вот что получил


Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\Html\Type\1.files\ (Access violation at address 00402161 in module 'avz.exe'. Read of address 4643534D --> 11)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\Html\Type\ (Access violation at address 00401E86 in module 'avz.exe'. Write of address 4C4D5448 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\Html\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\Delphi\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\Doca\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\Trash\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\Grey\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\Disk E\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\- = Comp140 = -\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\Grey\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8)
Ошибка при сканировании каталога D:\ (Access violation at address 0040253C in module 'avz.exe'. Write of address 4C4D5454 --> 8

И еще вопрос, точнее наверное предложение, может не стоит по симлинкам проверять, т.к. получиться что одно и то же файло по нескольку раз будет проверено?

DimaT
04.11.2005, 13:10
1. Окошко автообновлялки выглядит страшно.
2. Нажал обновить, чего-то там происошло но не понятно обновилось или нет. Нужно лог писать куда-то и результат обновления выводить.
А у меня сработало вполне нормально...

DimaT
04.11.2005, 13:32
В одной из версий 4.xx появится локализация - движек переработан для возможности перевода Xoрошо что не забываешь... :)
А где в меню ты собираешься её ''втыкнуть''?

HATTIFNATTOR
04.11.2005, 15:11
Для kav.exe и kavsvc.exe "ошибка получения информации о файле" и не выводится список используемых библиотек.

При запуске скриптом AVZ создал пустой архив virusinfo_files.zip

DimaT
04.11.2005, 16:06
Teстировал сейчас на одном диске С:
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 81179, извлечено из архивов: 64200, найдено вредоносных программ 0
Сканирование завершено в 04.11.2005 14:32:59
Сканирование длилось 02:22:24 Трудоемко и не оправдано...
В типах файлов стоят настройки по умолчанию:
Потенциально опасные файлы и 3 чека внизу.
В ''потенциально опасных'' согласно справке:
AVZ проверят EXE, DLL, OCX, SYS, CAB, INF… должны быть не все. Мне показалось проверяет все?
Настройки по умолчанию даются для новичков. Оправдано ли ''шерстить'' всё? Не лучше ли бы давать сразу маску на *.txt, *.html, *.chm, *.log, *.ini и т.д.?
Кто и как работает с масками? С какими?

Oro
04.11.2005, 17:15
Hi Oleg!

С первого взгляда на новую версию обнаружилось:

1. Включение/исключение файлов по маске заблокировано

2. Диспечер процессов -нет хинта на снятие дампа.

3. Обновление баз - маленький размер окна (см. size.gif).

4. Обновление баз - в процессе работы имя обрабатываемого файла накладывается на надпись (см. obrab.gif).

5. Нет хинтов на закладках "лечение" и "параметры поиска".

* Желаю у дачи

Юстас

DimaT
04.11.2005, 18:04
1. Включение/исключение файлов по маске заблокировано
Да забыл подчеркнуть это...
Неужели сделал преднамеренно?

Cool Cat
04.11.2005, 22:12
Похоже в частом “вылитании” AVZ у меня на ПК виновником является
SYMANTEC ANTIVIRUS CORP…(v 9.0.0.338) ну тут есть один прикол, при простом завершении процессов (с помощью “диспетчера задач” например) AVZ всё равно при поиски “зверей” моментально завершает свою работу (отключается!) – при сканировании C:/Windows/Temp/tmpXXX.tmp/….
(XXX – это число)

Но при отключении Служб “антивиря” … AVZ успешно заканчивает сканирования
(по крайней мере, диск “С” проверял до конца)

Название отключенных служб (сервисов) :
1) Symantec AntiVirus -
Динамический поиск вирусов, функции создания отчетов и управления для Symantec AntiVirus.

2) Symantec AntiVirus Definition Watcher –
Отслеживает появление описаний вирусов и обрабатывает их.

А так же отключил процесс (авто запуск) Symantec AntiVirus - VPTray.exe


При этом AVZ вроде преодолевает папку TEMP

Иногда успевает сообщить вот это:
Ошибка при сканировании каталога C:\WINDOWS\Temp\ (Access violation at address 00401E75 in module 'avz.exe'. Write of address EA119F14 --> 6)

ИЛИ вот это:

Ошибка при сканировании каталога C:\ (Access violation at address 00401E8F in module 'avz.exe'. Write of address 01EA9B78 --> 6)

ХЗ что делать?
Есть ли связь между SYMANTEC ANTIVIRUS CORP > AVZ > TEMP ….

Как решить проблему? можно ли папку подчистись?…..
или её надо исключить из поиска AVZ? .


После удачного сканирования (если преодолевает папку TEMP) есть ещё проблема:

Не могу посмотреть порты….. Открытые порты TCP/UDP выдаёт сообщение:

Access violation at address 00404D48 in module “avz.exe” Read address 00000010.

Тоже самое “вылезает” при попытке “Исследования системы” (при попытке создать)

Может в этом виноваты “надстройки XP” (твикер)?.

Что может препятствовать в стабильной работе AVZ (v4.0)?????

Спасибо за внимание.

Granat
04.11.2005, 22:44
Вроде всё работает. Обновление без проблем. Протокол прилагается.
Что заметил:
при создании протокола исследования системы поставил галку "Создать ZIP архив...", создался и zip и htm, это фича?. И ещё, он про DrWeb специально не знает?

MOCT
04.11.2005, 22:57
Похоже в частом “вылитании” AVZ у меня на ПК виновником является
SYMANTEC ANTIVIRUS CORP…(v 9.0.0.338) ну тут есть один прикол, при простом завершении процессов (с помощью “диспетчера задач” например) AVZ всё равно при поиски “зверей” моментально завершает свою работу (отключается!) – при сканировании C:/Windows/Temp/tmpXXX.tmp/….
(XXX – это число)

Есть ли связь между SYMANTEC ANTIVIRUS CORP > AVZ > TEMP ….

Что может препятствовать в стабильной работе AVZ (v4.0)?????

вопросы:
1. включен ли антивирусный монитор Symantec при неуспешной проверке папки TEMP?
2. нормально ли работала предыдущая версия AVZ?

MOCT
04.11.2005, 23:00
предложение - не выводить в исследовании системы в файл строки файла hosts вида

127.0.0.1 localhost

и вообще не создавать раздел и таблицу

Файл HOSTS
Запись файла Hosts
если в файле нет ничего постороннего

Зайцев Олег
04.11.2005, 23:49
предложение - не выводить в исследовании системы в файл строки файла hosts вида

127.0.0.1 localhost

и вообще не создавать раздел и таблицу

Файл HOSTS
Запись файла Hosts
если в файле нет ничего постороннего
Логично, так я и сделаю ...
to Granat
несколько разновидностей DrWeb есть в базе, но они видимо недавно обновили его, поэтому в базы чистых он еще не попал... ZIP+HTML - это фича - просто HTML создается всегда, а при включении соотв. птички дополнительно создается содержащий его ZIP.
to Cool Cat
глюки могут быть связаны с монитором ... Код 6 в логе - это сканирование файла. Код 8 - сканирование каталога внутри указанного.
to Oro
1. Да, моя промашка - разблокирую
2. Уже поправлено, это баг
3. Уже поправлено, это баг
4. Баг, вытекающий из 3, поправлен
5. Недосмотр, сейчас исправлю

Зайцев Олег
04.11.2005, 23:51
Xoрошо что не забываешь... :)
А где в меню ты собираешься её ''втыкнуть''?
Пока не знаю ... я вообще не знаю, будет ли язык выбираться "на лету" или будут локализованные версии - я пока занимался причесыванием движка для того, чтобы можно было выдрать все текстовые сообщения и перевести их

MOCT
05.11.2005, 00:04
Пока не знаю ... я вообще не знаю, будет ли язык выбираться "на лету" или будут локализованные версии - я пока занимался причесыванием движка для того, чтобы можно было выдрать все текстовые сообщения и перевести их
пункт "язык программы" лучше воткнуть в пункт "Справка" и сделать его англоязычным. так сказать - язык международного общения.
локализованные версии - это разные exe-файлы для разных языков?
могу назвать минусы такого подхода:
1. когда языковые настройки внешние (в инишках и т.п.), то их могут переводить простые пользователи, знающие несколько языков. в противном случае все делать придется автору (а его возможности ограничены всего несколькими языками), ибо только он знает все строки, которые могут выдаваться программой.
2. при выходе новой версии придется закачивать на сайт по несколько дистрибутивов. на это требуется время, деньги, место на сервере.
если языки в инишках - то это проще, поскольку подойдут файлы от предыдущей версии. и размер компактнее.
3. сайт придется переводить на кучу языков, чтобы было понятно какой файл с каким языком. или делать длинные "говорящие" имена файлов.

Cool Cat
05.11.2005, 00:24
МОСТ (писал)
вопросы:
1. включен ли антивирусный монитор Symantec при неуспешной проверке папки TEMP?
2. нормально ли работала предыдущая версия AVZ?

Ответы:

1. От этой версии ANTIVIRUS CORP…v 9.0.0.338 в службах находятся:

Symantec AntiVirus (процесс Rtvscan.exe)
Symantec AntiVirus Definition Watcher (процесс DefWatch.exe)
и
SavRoam – Служба роуминга Symantec AntiVirus (процесс Savroam.exe)
(находится в отключенном состоянии, на ручном запуске)
А так же
Автозапуск vptray (процесс VPTray.exe)

Так вот AVZ успешно заканчивает сканирования у меня папки TEMP при отключении:

1)служб
Symantec AntiVirus
Symantec AntiVirus Definition Watcher
(При этом процессы тоже прекращают работу)

(“включен ли антивирусный монитор Symantec?” – я так понял “Rtvscan.exe”)

2)автозапуск
vptray (процесс VPTray.exe)
(отключаю через дис. задач)


2. При работе AVZ в паре с этой SYMANTEC ранее не было проблем …..
с версией 3. 81 и ниже …. а вот начиная с версии 3.83 начались эти проблемы
но это может быть связано я думаю и с обновлением антивирусных баз SYMANTEC
или наоборот с увеличением в AVZ.


Как я понял из темы (тестирования v3,80 и выше) сообщение типа..
Access violation at address 00404D48 in module “avz.exe” Read address 00000010.
связано с нехваткой оперативной памяти при определённом процессе …

Неужели AVZ .. становится ресурсоёмким?... ведь при сканировании он не грузит систему... да и работает быстро.

PS. Спасибо за помощь

Cool Cat
05.11.2005, 00:51
[QUOTE=Зайцев Олег]

глюки могут быть связаны с монитором ... Код 6 в логе - это сканирование файла. Код 8 - сканирование каталога внутри указанного.

Это значит нужно исключить папку TEMP..?

(И пака её сканить другой подобной программой)

PS/ Cпасибо за внимание.

DimaT
05.11.2005, 11:24
Пока не знаю ... я вообще не знаю, будет ли язык выбираться "на лету" или будут локализованные версии - я пока занимался причесыванием движка для того, чтобы можно было выдрать все текстовые сообщения и перевести их Понимаю, что "на лету" менять проблемно, но локализованные версии - еще хуже и ''головная боль'' в будующем для тебя...:'-(
Не лучше ли будет после выбора другого языка, предлагать автоматический перезапуск AVZ и подниматься уже с новым...?
Солидарен с доводами МОСТа.

2. Не услышал твой ответ о настройках типов файлов?
Оптимальные на твой взгляд?
Не слишком ли расширены потенциально опасные?
Возможен ли в будующем механизм сканирования: пропускать (не ''трогать'') файлы, которые были безопасны и не изменились со времени предыдущей проверки?

Geser
05.11.2005, 13:11
Пока не знаю ... я вообще не знаю, будет ли язык выбираться "на лету" или будут локализованные версии - я пока занимался причесыванием движка для того, чтобы можно было выдрать все текстовые сообщения и перевести их
Может сделать файл локализации как во мнофих программах, где все фразы и перевод на другой язык. Так каждый желающий сможет заменить перевод и сделать свою локализацию на любой язык.

Зайцев Олег
05.11.2005, 19:05
Понимаю, что "на лету" менять проблемно, но локализованные версии - еще хуже и ''головная боль'' в будующем для тебя...:'-(
Не лучше ли будет после выбора другого языка, предлагать автоматический перезапуск AVZ и подниматься уже с новым...?
Солидарен с доводами МОСТа.

2. Не услышал твой ответ о настройках типов файлов?
Оптимальные на твой взгляд?
Не слишком ли расширены потенциально опасные?
Возможен ли в будующем механизм сканирования: пропускать (не ''трогать'') файлы, которые были безопасны и не изменились со времени предыдущей проверки?
Сейчас по умолчанию проверяются файлы типов:
.EXE.DLL.OCX.SCR.SYS.CPL.AX.COM.VXD
.JS.HTM.HTML.CHM.HTA.CMD.BAT.DOC.LNK.INF.PIF.CAB.W AV.MP3.BAK.VBS.CHM.ZIP.JAR.TAR.GZ.TGZ.TMP.EML.MSG
механизма сканирования по режиму "не трогать безопасные" наверное не будет никогда - для контроля изменения файла нужно считать его CRC и проверятьь по базе, а это на порядок дольше, чем AV проверка, требующая как правило считывания 1-2% данных файла. Вот для архивов нечно подобное планируется, н несколько иначе - для отсечения стандартных архивов и CHM файлов из дисрибутива Windows

MOCT
05.11.2005, 19:22
Сейчас по умолчанию проверяются файлы типов:
.WAV.MP3

а эти-то как сюда попали?

DimaT
05.11.2005, 19:24
Сейчас по умолчанию проверяются файлы типов:
.EXE.DLL.OCX.SCR.SYS.CPL.AX.COM.VXD
.JS.HTM.HTML.CHM.HTA.CMD.BAT.DOC.LNK.INF.PIF.CAB.W AV.MP3.BAK.VBS.CHM.ZIP.JAR.TAR.GZ.TGZ.TMP.EML.MSG А HTM, HTML по умолчанию проверяются зачем?

Вот для архивов нечно подобное планируется, н несколько иначе - для отсечения стандартных архивов и CHM файлов из дисрибутива Windows Тоже неплохо. :P Когда планируется?

kps
05.11.2005, 19:27
Олег, один вопрос, судя по этой теме http://virusinfo.info/showthread.php?t=3828 AVZ не смог обезвредить активного зверя Look2Me в памяти. Вопрос - так ли это, и если так- будет ли добавлена процедура обезвреживания этого зверя в памяти?

Granat
05.11.2005, 21:16
несколько разновидностей DrWeb есть в базе, но они видимо недавно обновили его, поэтому в базы чистых он еще не попал...
У меня последняя версия 4.33...

santy
06.11.2005, 20:28
По обновлению баз:

1. Sygate Personal Pro выдал сообщение во время обновления баз.
Application Hijacking has been detected
The application: C:\Program Files\Total Commander\Totalcmd.exe try to launch another application: E:\disk_d\Arhives\AntiVirus\AntiSpyWare\Утилиты_бе зопасности_Зайцева\avz4\avz.exe to go to remote host virusinfo.info
???

2. Может быть, после успешного завершения обновления вообще закрывать окно обновления?

3. Показывать дату последнего обновления антивирусных баз в логах сканирования.

MOCT
06.11.2005, 20:42
3. Показывать дату последнего обновления антивирусных баз в логах сканирования.
и еще эту же дату писать в окне "О программе".

2 Олег:
кстати, проблема с AddToLog так и не исправлена - строки затираются выводимыми сообщениями программы и в файл не попадают.

Oro
07.11.2005, 10:10
По обновлению баз:
...
2. Может быть, после успешного завершения обновления вообще закрывать окно обновления?
...


С выводом диалогового окна с информацией по количеству добавлений (сигнатур, подписей и т.д)

Grey
07.11.2005, 11:22
Может не досмотрел где, есть ли ключик ком.строки для запуска обновления?

Зайцев Олег
07.11.2005, 12:40
По обновлению баз:
1. Sygate Personal Pro выдал сообщение во время обновления баз.
Application Hijacking has been detected
The application: C:\Program Files\Total Commander\Totalcmd.exe try to launch another application: E:\disk_d\Arhives\AntiVirus\AntiSpyWare\Утилиты_бе зопасности_Зайцева\avz4\avz.exe to go to remote host virusinfo.info
???

2. Может быть, после успешного завершения обновления вообще закрывать окно обновления?

3. Показывать дату последнего обновления антивирусных баз в логах сканирования.

1. Это нормально - т.е. реакция на то, что программа A запускает программу B, а та в свою очередь ломится в Инет, это типа проактивной защиты
2. Да, однозначно есть смысл его закрыть
3. С датой я думаю, она есть в заголовке баз, но тут есть трудность в том, что баз то несколько :) Не понятно, что считать датой обновления. Сейчас я хочу сделать MAX дату из всех загруженных AV баз

Зайцев Олег
07.11.2005, 12:45
Олег, один вопрос, судя по этой теме http://virusinfo.info/showthread.php?t=3828 AVZ не смог обезвредить активного зверя Look2Me в памяти. Вопрос - так ли это, и если так- будет ли добавлена процедура обезвреживания этого зверя в памяти?
Там плохо, что образца не было ... а без наличия детекта этого зверя в базах прибить его вручную трудно. Вот если бы он попал в базу AVZ, то прибился бы он без проблем - тогда сработает МП лечения, которая зачистит все хвосты данной заразы.

santy
07.11.2005, 13:59
1. Это нормально - т.е. реакция на то, что программа A запускает программу B, а та в свою очередь ломится в Инет, это типа проактивной защиты
2. Да, однозначно есть смысл его закрыть
3. С датой я думаю, она есть в заголовке баз, но тут есть трудность в том, что баз то несколько :) Не понятно, что считать датой обновления. Сейчас я хочу сделать MAX дату из всех загруженных AV баз

1. для sygate было типа, из total commander был запущен avz, и avz вдруг чего-то начал скачивать из инет? :)
3. вообщем, да. Как будет организовано обновление. Мне нравится как у nod32. Есть версия сборки антивирусных баз, дата изготовления. При обновлении выдается размер обновления, версия сборки. Всегда есть выбор после этого закачать обновление или нет.
Вопрос: AVZ будет повторно качать базы или есть контроль обновления?

Зайцев Олег
07.11.2005, 14:20
1. для sygate было типа, из total commander был запущен avz, и avz вдруг чего-то начал скачивать из инет? :)
3. вообщем, да. Как будет организовано обновление. Мне нравится как у nod32. Есть версия сборки антивирусных баз, дата изготовления. При обновлении выдается размер обновления, версия сборки. Всегда есть выбор после этого закачать обновление или нет.
Вопрос: AVZ будет повторно качать базы или есть контроль обновления?
Контроль обновления в AVZ конечно есть - т.е. всегда загружается небольшой ZIP архив, в нем XML описание актуального состояния баз. Дальше каждый файл текущей базы сравнивается с описанным в XML "эталоном" и при необходимости происходит их обновление.
В базах AVZ тоже есть версия и дата сборки, наверное ее я и буду выводить.

kesic
08.11.2005, 04:28
Интересная програмка. На мой взгляд не очень удобный интерфейс (громоздкий) и иконка программы слегка корявая. ИМХО.

Oro
08.11.2005, 14:28
to Oro
1. Да, моя промашка - разблокирую
2. Уже поправлено, это баг
3. Уже поправлено, это баг
4. Баг, вытекающий из 3, поправлен
5. Недосмотр, сейчас исправлю
А на сайте уже исправленная версия? А то версия и дата выхода старые (или проделки злого прокси).

Зайцев Олег
08.11.2005, 14:38
А на сайте уже исправленная версия? А то версия и дата выхода старые (или проделки злого прокси).
Нет, на сайте еще неисправленная версия ... скоро (может завтра) будет версия 4.01, в которой поправлены все мелкие баги.

Granat
08.11.2005, 16:19
Установил AVZ 4 на рабочий ноут, внезапно возникли проблемы с обновлением. Т.е. пишет "не могу загрузить avzupd.zip", после некотрого шаманства с сетевыми настройками пишет "файл avzupd.zip поврежден". Файера на машине нет (вырубил встроенный специально). На других компьтерах, находящихся в этой же сети, так же настроеных обновление проходит без проблем. Не пойму где грабли. Прилагаю так же лог с этой машины.

Зайцев Олег
08.11.2005, 16:48
Криминала вроде не видно ... AVZ качает обновление, применяя текущие настройки IE.
Я советую поискать на этом ПК avzupd.zip в папке TEMP\AVZ. Если выдается сообщение о том, что avzupd.zip поврежден, то он не удаляетсяи из данной папки и можно посмотреть, что там - может, HTML с сообщением от прокси сервера или что-то похожее ...

RiC
08.11.2005, 21:26
Глюк в логе AVZ -
Топик http://virusinfo.info/showthread.php?t=3890
Сама ошибка -
>>>> Обнаружена маскировка процесса 1256 e:\windows\system32\xpjava.exe
Ошибка в работе антируткитаAccess violation at address 0054907A in module 'avz.exe'. Read of address 0000000C

Tora-bora
09.11.2005, 11:19
Вопрос Зайцеву Олегу: а можно ли включить возможность обновления AVZ по сети с локального сервера?

Зайцев Олег
09.11.2005, 12:09
Вопрос Зайцеву Олегу: а можно ли включить возможность обновления AVZ по сети с локального сервера?
Пока невозможно ... а есть надобность ? Если есть, то можно предусмотреть

Зайцев Олег
09.11.2005, 12:09
Глюк в логе AVZ -
Топик http://virusinfo.info/showthread.php?t=3890
Сама ошибка -
>>>> Обнаружена маскировка процесса 1256 e:\windows\system32\xpjava.exe
Ошибка в работе антируткитаAccess violation at address 0054907A in module 'avz.exe'. Read of address 0000000C
Глюк вижу - возможно, он связан с запуском процесса во время работы антируткита

Tora-bora
09.11.2005, 13:39
Пока невозможно ... а есть надобность ? Если есть, то можно предусмотреть Надобность есть - имеется сеть из 80-90 компьютеров, AVZ в автозагрузке, большинство не имеет выхода в Интернет. Плюс к этому хотелось бы иметь возможность через скрипт выполнять обновление.

kesic
10.11.2005, 01:34
Олег, я возможно что-то пропустил, но будет ли антивирусный монитор в AVZ?

qantrom
10.11.2005, 10:00
у меня возникла проблема несовместимости проги с качпером 5.0.384.
после сканирования и удаления(лечения )"вирусов" , каспер наотрез отказываеться работать. сначала вылетает монитор, затем летят базы, но и после обновления всё остаёться как есть и даже жуже. так как каспер "умирает"
хотелось бы спросить, как быть?
да, мне недавно сообщили, что и НОД ведёт себя подобным образозом.

Geser
10.11.2005, 10:02
у меня возникла проблема несовместимости проги с качпером 5.0.384.
после сканирования и удаления(лечения )"вирусов" , каспер наотрез отказываеться работать. сначала вылетает монитор, затем летят базы, но и после обновления всё остаёться как есть и даже жуже. так как каспер "умирает"
хотелось бы спросить, как быть?
да, мне недавно сообщили, что и НОД ведёт себя подобным образозом.
А противодействие руткитам было включено?

MOCT
10.11.2005, 12:04
А противодействие руткитам было включено?
наверняка стояло противодействие руткитам в kernel-mode...

2 qantrom : в этом случае AVZ честно предупреждает перед запуском сканирования, что работа антивирусных мониторов может быть нарушена и после этого нужно перезагрузиться!

qantrom
10.11.2005, 15:38
было включено по максимуму )) и противодействие тоже. и это понятно , что монитор вырубился. но почему после перезагрузки каспер умер ? вот в чём вопрос.

Зайцев Олег
10.11.2005, 17:42
было включено по максимуму )) и противодействие тоже. и это понятно , что монитор вырубился. но почему после перезагрузки каспер умер ? вот в чём вопрос.
Монитор не должен был умереть - деактивация перехвата идет только в памяти, таких конфликтов до сих пор не было зарегистрировано ...
---------
Обновились базы - 17687 сигнатур, 45415 безопасных.

kesic
10.11.2005, 21:21
Олег
BBLEANSKINENG.DLL (плагин для BlackBox) надо исключить из "подозреваемых" как Keylogger или троянская DLL, т.к. это не соответствует действительности.

kps
10.11.2005, 21:41
Олег
BBLEANSKINENG.DLL (плагин для BlackBox) надо исключить из "подозреваемых" как Keylogger или троянская DLL, т.к. это не соответствует действительности.
Так пришлите его Олегу, он занесет его в базу безопасных (если файлик безопасный).

kesic
11.11.2005, 01:48
Ok!

DenZ
11.11.2005, 20:27
Обновились базы - 17687 сигнатур, 45415 безопасных.
А почему старая Daily.avz не удаляется при автообновлении баз? Разве она не вошла в новую Main.avz ?

MOCT
11.11.2005, 21:07
А почему старая Daily.avz не удаляется при автообновлении баз? Разве она не вошла в новую Main.avz ?
о, какой хороший вопрос!
тут еще один появился - проверяется ли соответствие имени файла базы и истинного имени базы (данное при компиляции)? проверяется или нет - загружена ли уже данная ав-запись в память или нет? (т.е. если скопировать main.avz 10 раз будут ли записи грузиться в память 10 раз?)

kesic
12.11.2005, 11:31
У меня старая Daily.avz удаляется при автообновлении баз.

Зайцев Олег
12.11.2005, 23:29
А почему старая Daily.avz не удаляется при автообновлении баз? Разве она не вошла в новую Main.avz ?
Daily.avz не удаляется, так как его наличие никакой роли не играет - у загрузчика баз стоит проверка, блокирующая загрузу Daily.avz при условии, что у main.avz внетрення дата сборки старше, чем у daily.avz

kesic
13.11.2005, 01:52
Странно тогда, почему я не нашёл Daily.avz после самого первого обновления баз? Нет его на машине.

Зайцев Олег
15.11.2005, 15:05
Странно тогда, почему я не нашёл Daily.avz после самого первого обновления баз? Нет его на машине.
Значит, не повезло его получить - он есть у тех, кто заапдейтился в момент его наличия ...
Кстати, об апдейтах - вышел очередной апдейт, можно его забирать автообновлением. Он в том числе ловит Backdoor.Win32.Rbot.aie, который размножается путем рассылки эксплоитов в 75 потоков по сети класса B (первые две цифры берутся от IP зараженной машины).

Granat
15.11.2005, 15:40
Установил AVZ 4 на рабочий ноут, внезапно возникли проблемы с обновлением. Т.е. пишет "не могу загрузить avzupd.zip", после некотрого шаманства с сетевыми настройками пишет "файл avzupd.zip поврежден". Файера на машине нет (вырубил встроенный специально). На других компьтерах, находящихся в этой же сети, так же настроеных обновление проходит без проблем. Не пойму где грабли. Прилагаю так же лог с этой машины.
Проблема действительно оказалась в настройках IE. Необходимо установить "галки": "использовать HTTP 1.1" и "использовать HTTP 1.1 через прокси-соединения". Кто работает через прокси, у того возможны аналогичные проблемы.

Зайцев Олег
15.11.2005, 16:18
Проблема действительно оказалась в настройках IE. Необходимо установить "галки": "использовать HTTP 1.1" и "использовать HTTP 1.1 через прокси-соединения". Кто работает через прокси, у того возможны аналогичные проблемы.
Может быть - AVZ, кстати, работает по настройкам IE. Я не знаю, стоит делать возможность работать в обход настроек ?

kps
15.11.2005, 16:25
Несколько мелких пожеланий/замечаний:
1) Может, заменить пункт меню "Обновление баз" на просто "Обновление" или "Обновление программы" ? Или там обновляются только базы без программных модулей?
2) Если сканирование дисков было прервано пользователем, писать в протокол об этом.
3) Может, есть смысл при включении переключателя "Блокировать Rootkit Kernel Mode" выводить запрос подтверждения с той же информацией, которая появляется во всплывающей подсказке?
4) Может быть, имеет смысл в протоколе проверки указывать просканированные диски?
5) Нет пункта меню "Очистить протокол"
6) В протоколе ничего не пришется, когда выбираешь файл для отложенного удаления.
7) Когда при запуске обновлялки нет новых обновлений, все равно пишется что "обновление успешно установлено".

Зайцев Олег
15.11.2005, 16:39
Несколько мелких пожеланий/замечаний:
1) Может, заменить пункт меню "Обновление баз" на просто "Обновление" или "Обновление программы" ? Или там обновляются только базы без программных модулей?
2) Если сканирование дисков было прервано пользователем, писать в протокол об этом.
3) Может, есть смысл при включении переключателя "Блокировать Rootkit Kernel Mode" выводить запрос подтверждения с той же информацией, которая появляется во всплывающей подсказке?
4) Может быть, имеет смысл в протоколе проверки указывать просканированные диски?
5) Нет пункта меню "Очистить протокол"
6) В протоколе ничего не пришется, когда выбираешь файл для отложенного удаления.
7) Когда при запуске обновлялки нет новых обновлений, все равно пишется что "обновление успешно установлено".
1. пункт назван так умышленно - обновляется только база
2. сделано
3. ? Это же сделано - там аналогичный текст
4. технически это элементарно, но не будет ли это загромождать протокол ? Добавить это несложно
5. сделано - в виде отдельной кнопки на панели + пункта меню
6. сделано - протоколирование удаления файлов и ошибок
7. сделано - в сообщение после информации об успешном апдейте выводится доп. информация о том, что собственно произошло ("обновление не требуется", "обновление успешно загружено и установлено")
-----
Завтра выходит 4.01. В ней ничего радикально нового нет - в основном косметические правки + устранен баг в антирутките

anton_dr
15.11.2005, 16:48
Проблема действительно оказалась в настройках IE. Необходимо установить "галки": "использовать HTTP 1.1" и "использовать HTTP 1.1 через прокси-соединения". Кто работает через прокси, у того возможны аналогичные проблемы.
Фэнкс :) Была проблемка. Теперь нет.

kps
15.11.2005, 17:05
3. ? Это же сделано - там аналогичный текст

У меня почему-то при включении этого переключателя не появляется никакой MessageBox с запросом подтверждения. Может быть, дело в том, что у меня win98...

Зайцев Олег
15.11.2005, 17:12
У меня почему-то при включении этого переключателя не появляется никакой MessageBox с запросом подтверждения. Может быть, дело в том, что у меня win98...
А, теперь ясно ... под W9x KernelMode искатель руткитов KernelMode автоматически блокируется, как следствие и запрос не выдается. Я сделаю блокировку переключателя под 9x

Granat
15.11.2005, 19:30
Может быть - AVZ, кстати, работает по настройкам IE. Я не знаю, стоит делать возможность работать в обход настроек ?
На мой взгляд желательно настройки IE не использовать, многие не пользуются им и он может и не настраиваться пользователем, как в моём случае. Конкретно на той машине где была проблема IE использовался исключительно в зоне ЛВС и соответственно был настроен.

kesic
15.11.2005, 22:53
Олег
Всё, обновился и всё стало на свои места.

Зайцев Олег
15.11.2005, 23:01
На мой взгляд желательно настройки IE не использовать, многие не пользуются им и он может и не настраиваться пользователем, как в моём случае. Конкретно на той машине где была проблема IE использовался исключительно в зоне ЛВС и соответственно был настроен.
Но часто есть и обратная ситуация - например, у меня в ЛВС выход в Инет идет через прокси и попытка "пойти напрямую" ничем хорошим не закончится. Вывод - я ввожу настройку, позволяющую выбрать настройки

anton_dr
16.11.2005, 08:27
Вывод - я ввожу настройку, позволяющую выбрать настройки
Только лучше сделать со всеми параметрами, включая имя и пароль. А то многие программы грешат этим - нет возможности задать, только адрес и порт, и как следствие, не могут пробиться через проксю.

Зайцев Олег
16.11.2005, 15:18
Только лучше сделать со всеми параметрами, включая имя и пароль. А то многие программы грешат этим - нет возможности задать, только адрес и порт, и как следствие, не могут пробиться через проксю.
да, наверное такие настройки придется делать
----
вышло очередное обновление баз - доступно через автоапдейт.

anton_dr
16.11.2005, 15:22
Наверное, нужно где-нибудь в меню "о программе" писать дату последнего обновления.

Зайцев Олег
16.11.2005, 15:51
да, однозначно - я уже думаю фиктивный файлик базы ввести с датой. Или брать max дату из всех файлов - ведь интересна не дата факта последнего апдейта, а реальная дата последнего апдейта базы

Oro
16.11.2005, 17:19
1. Добавить возможность остановки "Исследования системы".
2. Добавить вывод сообщение о завершении "Исследования системы".
3. Добавить в справку статьи о новых встроенных утилитах: "Менеджер внедренных dll", "Менеджер файла Hosts", "Общие ресурсы и сетевые сеансы".
4. Поправить статью в справке "Параметры командной строки" (WinTrustLevel=[0|1|2|3] - параметр 3 не описан).

Участковый
16.11.2005, 19:31
1. Добавить возможность остановки "Исследования системы".

По-моему, излишне. Исследование системы длится всего секунд 8-10 максимум.

Oro
17.11.2005, 12:54
2. Добавить вывод сообщение о завершении "Исследования системы".

Имелось ввиду запуск AVZ с ключом в командной строке. При этом в окне протокола выводится сообщение "Выполняется исследование системы" и все.

Зайцев Олег
17.11.2005, 15:18
Имелось ввиду запуск AVZ с ключом в командной строке. При этом в окне протокола выводится сообщение "Выполняется исследование системы" и все.
А, вот теперь понятно - имеется в виду исследование, инициированное скриптом. Это действительно необходимо, сейчас сделаю ... позиции 3,4 из описанных выше я поправил, позицию 1 реализавать технически можно, но есть ли смысл ?

Geser
17.11.2005, 16:04
позицию 1 реализавать технически можно, но есть ли смысл ?
Нет. Будут потом не полные логи. Нафиг нужно.

santy
18.11.2005, 05:55
да, наверное такие настройки придется делать
----
вышло очередное обновление баз - доступно через автоапдейт.

о необходимости выполнить настройки в IE можно просто указать в HELP программы, в теме "обновление", хотя если кто-нибудь не пользуется эксплорером, тогда...

Олег, будут ли обновленные базы включаться в новые версии программ?

MOCT
18.11.2005, 08:36
не знаю, реализовано такое уже или нет, но еще нужно такое восстановление системы: в некоторых случаях трояны меняют интерфейс Internet Explorer и убирают строку "Адрес". а также другие стандартные панельки

Зайцев Олег
18.11.2005, 09:17
не знаю, реализовано такое уже или нет, но еще нужно такое восстановление системы: в некоторых случаях трояны меняют интерфейс Internet Explorer и убирают строку "Адрес". а также другие стандартные панельки
Частично это есть, но 100% гарантии нет (например, восстановление спрятанных трояном панелей точно нет). Если такой троян попадется, я проверю, как существующие алгоритмы восстановления справляются с его "деятельностью"

Зайцев Олег
18.11.2005, 09:19
о необходимости выполнить настройки в IE можно просто указать в HELP программы, в теме "обновление", хотя если кто-нибудь не пользуется эксплорером, тогда...

Олег, будут ли обновленные базы включаться в новые версии программ?
Да, это я и пропишу в хелпе. Плюс переключатель режима (по настройкам IE, прямое соединение).
Обновленная версия баз обязательно будет включаться в каждую очередную версию

Зайцев Олег
18.11.2005, 17:37
Вышла версия 4.01:
[+/-] Закрытие окна автоапдейта после успешного обновления, решены проблемы с некорректным отображением окна при включении увеличенных шрифтов
[++] Настройка автоапдейт, апдейт в 4-х режимах (настройки из IE, прямое соединение, прокси без авторизации, прокси с авторизацией), добавлена команда скрипта ExecuteAVUpdateEx для апдейта с возможностью задать все параметры
[+] Включение и исключение поиска файлов по маскам, заданным пользователем. Маски могут содержать символы * и ?, допускается указание нескольких масок, применение смешанных условий (например, все файлы исключая заданные) [+] Множество мелких исправлений в интерфейса (подсказки, масштабирование окон и т.п.)
[++] Доработана справочная система (hlp в составе AVZ и on-line документация на сайте)
[-] Устранена ошибка в антирутките, возникающая при обнаружении скрытых процессов
[+] Вывод даты сборки AV базы в протокол
------------
База: 18035 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 357 микропрограмм эвристики, 8 микропрограмм восстановления настроек системы, 45847 подписей безопасных файлов

MOCT
18.11.2005, 20:04
[+] Вывод даты сборки AV базы в протокол

плохо то, что без запуска сканирования нельзя узнать дату сборки...
например в окне "О программе" или в каком-нибудь пункте меню.

еще в отчет пишется:
"Сканирование запущено в 18.11.2005 19:57:58"
лучше писать
"Сканирование запущено 18.11.2005 в 19:57:58"

проблема с C:\WINDOWS\System в Win2k не устранена

в модуле пространства ядра - черные дыры (кажется их тут так называют)

Nekto
19.11.2005, 18:43
хорошо бы включить сабж или хотя бы удаление строк в файле ;)

santy
21.11.2005, 07:39
Лицо программы, окно "о программе" изменить как-нибудь бы. Назначение программы выделить в блоке с рамкой или "утоплением", с центровкой текста, уменьшенным размером шрифта. (плюс, да, вывод инфо о версии сборки антивирусных баз, если будут, дополнительных модулей-компонент.)

Srg
21.11.2005, 12:07
Вопрос моно: а почему антивирус не видит вирусы перемещенные
в другое место: например c:\Progra files\istsvc.exe -> c:\my\virtest\istsvc.exe
Даже если задать в поиске путь: все равно.
версия программы avz.4.0.02.

Зайцев Олег
21.11.2005, 12:41
Вопрос моно: а почему антивирус не видит вирусы перемещенные
в другое место: например c:\Progra files\istsvc.exe -> c:\my\virtest\istsvc.exe
Даже если задать в поиске путь: все равно.
версия программы avz.4.0.02.
А какой антиврус не видит ?? AVZ местоположение файла не критично (исключение - подозрения ЭПС, там есть связка реестр-файл, и наличие файла на прописанном в реестре месте критично). А для файлового сканера это значения не имеет

Srg
21.11.2005, 21:54
А какой антиврус не видит ?? AVZ местоположение файла не критично (исключение - подозрения ЭПС, там есть связка реестр-файл, и наличие файла на прописанном в реестре месте критично). А для файлового сканера это значения не имеет
упс - это в каком случае - файл определился не совсем точно?

зы: ну а монитор, монитор встроенный в программе будет??

----
жду ответа

kps
24.11.2005, 23:24
Чистил у знакомого комп при помощи AVZ на нерусской винде. Одни вопросики, ничего не разобрать :(
То, что мультиязычный интерфейс в разработке - это хорошо...
Ждем-с :)

santy
25.11.2005, 06:56
Олег, может быть, вместе с обновлением баз сообщать пользователю о номере последней версии AVZ (или о выходе новой версии, если сравнить с тем, что есть у пользователя), потому как в форуме вижу упоминание о версии 4.0.02, на Вашем сайте в download вижу только 4.01. (или то более ранняя версия?)

santy
25.11.2005, 07:36
Какую программу вы чаще всего используете для борьбы с программами-шпионами?

Ad-Aware
42,51% (312)
Не пользуюсь
22,48% (165)
Spybot - Search & Destroy
9,95% (73)
Другой
8,99% (66)
Microsoft Windows AntiSpyware
8,99% (66)
AVZ
3,41% (25)
Spy Sweeper
1,23% (9)
WinPatrol
0,95% (7)
SpywareGuard
0,27% (2)
SpywareBlaster
0,14% (1)
PestPatrol
0,14% (1)
The Cleaner
0,14% (1)
SpyStopper
0,00% (0)

по результатам опроса с securitylab на 25_11_2005г.

Зайцев Олег
25.11.2005, 09:23
Олег, может быть, вместе с обновлением баз сообщать пользователю о номере последней версии AVZ (или о выходе новой версии, если сравнить с тем, что есть у пользователя), потому как в форуме вижу упоминание о версии 4.0.02, на Вашем сайте в download вижу только 4.01. (или то более ранняя версия?)
Сравнение версии идет в ходе апдейта, но сообщение включается тогда, когда изменения носят критичный характер и обновление действительно необходимо.

userr
25.11.2005, 13:59
Олег, если avz попадается запароленный архив, то в лог пишется так:
testp.zip - чист, в базе безопасных НЕ значится
надо бы как-то по-другому

Зайцев Олег
25.11.2005, 16:45
Олег, если avz попадается запароленный архив, то в лог пишется так:
testp.zip - чист, в базе безопасных НЕ значится
надо бы как-то по-другому
Можно в лог выводить сообщение о том, что архив закрыт паролем - в такой ситуации это наверное логичнее всего

Shredinger
25.11.2005, 16:49
На сегодняшний день, я лучше AVZ4 ещё не видал, какими только антиспаерами не пользовался, не куда не годились, обнаружил такие вирусы что сам мой Каспер почти пол года их не смог найти, благодаря этой утилите каспер нашел и убил вирусы. Сканирует отлично.
Но одно я зарубил себе на носу, никогда найденные объекты сканером не надо удалять! :)

kozakoff
25.11.2005, 23:21
Сегодня при очередной проверке Нортон обозвал AVZ 4.00/zip как скрытую угрозу и дал ссылку на свой сайт определив это - Packed.Adware
--------------------------------------------------------------------------
Олег, в папке Quarantine AVZ лежали файлы различные с подозрением на зверей , может по этому Нортон ругаеться. Хотя раньше молчал не видел ни чего.

Tra1toR
25.11.2005, 23:49
у знакомого, нортов антивирус или симантек, непомню ругался что в папке AVZ есть вируса, потом у меня сам AVZ принял 3 дллки от антиадваре spycather(tenebril.com) как подоздрительные на адваре

потом хочеться чтобы када она была свернутра в tray, помимо пунктов ПУСК/CТОП, были пункт обновить базы и о програме например.

потом если переходить по f10 по меню программе, у подписей нет хоткеев.

потом на странице ПАРАМЕТРЫ поиска, имхо слишком много чекбоксов, как то режет глаза

потом когда жмешь СТОП во время скана, бывает скан не сразу останавливается


почему то на протокле правой мышкой када щелкаешь, доступно вставить но ничего не вствляется

поместиить ссылку на папку с карантин и папку инфектед рядом с надписями копировать туда то...


потом зачем делать программу на руском, может сразу на английском сделать?

кнопка просмотра протокола найденных объектов ваще незаметна, лучше ее какнить по крупней, и чтобы по истечению скана, выдавался месаг что скан завершен, и хотите ли посмотреть писок найденных объктов

да еще индикатор, лучше сделать индикатор не каждого пунта а полнога скана, и время сканирования чтобы писалось поточнее

потом какой пароль непонятно када зипишь из папки карантин или инфектед?

во такой баг еще бесит, например запускаю скан, отменяю потом комп тормозит приходить ребут, комп 1000 атлон

вот ссылка для тестирования GUI, вот по ней протести его найдешь много багов, http://sqatester.com/documentation/GUIchecklist.htm

MOCT
26.11.2005, 00:16
вот ссылка для тестирования GUI, вот по ней протести его найдешь много багов, http://sqatester.com/documentation/GUIchecklist.htm
это что за глюк в этой теме???

Tra1toR
26.11.2005, 00:21
всмысле глюк??? это лист тестирования графического интерфейса пользователя (GUI)

берешь этот список и всеряешь для своей проги )

MOCT
26.11.2005, 00:46
берешь этот список и всеряешь для своей проги )
а нельзяли сообщения склеивать? например кнопкой "Правка". а то от обилия в глазах рябит...

Tra1toR
26.11.2005, 13:36
можно, просто я сижу очень долгое время на одном форуме, там автоматом 2 подряд мессага склеиваются в одно...
например месс1 потом добавил время месс2

Xen
29.11.2005, 11:57
А зачем в АВЗ такой менеджер хостс? обычный ноутпад справляется с задачей гораздо лучше...

Зайцев Олег
29.11.2005, 12:08
А зачем в АВЗ такой менеджер хостс? обычный ноутпад справляется с задачей гораздо лучше...
hosts анализируется для исследования системы, а менеджер просто визуализирует результаты анализа

MOCT
29.11.2005, 12:24
А зачем в АВЗ такой менеджер хостс? обычный ноутпад справляется с задачей гораздо лучше...
для того, чтобы редактировать этот файл, нужно еще знать, где он находится. в данному случае каждая домохозяйка может справиться без посторонней помощи. к тому же зачем пользоваться десятком программ, когда все есть в одной?

Xen
29.11.2005, 15:07
Дак дело в том, что в имеющемся "менеджере" можно только удалять строки. Человеку, который не знает, что такое хостс, этот менеджер не поможет. Тому, кто знает, тоже нафиг не нужен...

Geser
29.11.2005, 15:22
Дак дело в том, что в имеющемся "менеджере" можно только удалять строки.
А что еще нужно делать со строками добавленными трояном?

Xen
29.11.2005, 15:40
удалять скопом, редактировать, добавлять обратно свои перезатертые настройки

Geser
29.11.2005, 15:45
удалять скопом, редактировать, добавлять обратно свои перезатертые настройки
Групповое удаление действительно нужно. И это именно то что нужно в 99% случаев, потому как у 99% пользователей никаких своих настроек там нет

Tra1toR
29.11.2005, 16:15
Host в АВЗ это круто ! нужно чтобы можно было под рукой а не копаться и открывать падом, а удаление тока и нужно !!! все с этой функцией нормально

Зайцев Олег
29.11.2005, 16:55
Host в АВЗ это круто ! нужно чтобы можно было под рукой а не копаться и открывать падом, а удаление тока и нужно !!! все с этой функцией нормально
В Hosts AVZ на самом деле не хватает двух кнопок - привести "Hosts в порядок" и "Открыть Hosts в блокноте". Нажатие первой будет вышибать все строки кроме "127.0.0.1 localhost" :)
-----
Вышла свежая база: 18401 сигнатура, 1 нейропрофиль, 55 микропрограмм лечения, база от 29.11.2005 16:32

pig
29.11.2005, 20:22
А новую базу можно скачать только через обновление? Или для ручного скачивания тоже будет?

DenZ
30.11.2005, 07:43
Может, уже пора разделить main.avz на несколько баз, чтобы не тянуть каждый раз при обновлении ее целиком? Или она все еще полностью перерабатывается?

Зайцев Олег
30.11.2005, 09:00
Может, уже пора разделить main.avz на несколько баз, чтобы не тянуть каждый раз при обновлении ее целиком? Или она все еще полностью перерабатывается?
Так и будет сделано ... просто часто перерабатывается множество записей и передача отклонений неоптимальна ...в новой версии я думаю разделить базу на несколько частей (просто текущий AVZ не поддерживает несколько main-баз).

Зайцев Олег
30.11.2005, 10:54
А новую базу можно скачать только через обновление? Или для ручного скачивания тоже будет?
Можно скачать вручную - с тех адресов, откуда идет апдейт... но проще конечно автоапдейтом. Возможно другое - автоапдейт, а потом копирование полученной базы.

Oro
30.11.2005, 11:11
1. Возможность отсылки лога по email
2. Анализ результатов сканирования (
if
обнаружены вирусы, подозрительные объекты
then
запуск исследования системы, сохранение лога)
3. Игнорирование указанных подозрительных объектов
(Например http://www.tightvnc.com/ использует порт 5800 )

Geser
30.11.2005, 11:13
Кстати, была бы очань полезна возможность получить изменения в системе по сравнению с последним сканированием. Тоесть разницу между предпоследним логом исследования системы и последним.

Зайцев Олег
30.11.2005, 11:50
1. Возможность отсылки лога по email
2. Анализ результатов сканирования (
if
обнаружены вирусы, подозрительные объекты
then
запуск исследования системы, сохранение лога)
3. Игнорирование указанных подозрительных объектов
(Например http://www.tightvnc.com/ использует порт 5800 )
1. Это можно - из скрипта, я добавлю соотв. команду
2. Это тоже можно - я добавлю функцию, возвращающая кол-во подозрительных файлов
3. Это сложнее - возникает вопрос, как опознать подозрительный, который нужно игнорировать ?? Можно сделать ignore-list с MD5, местоположением и размером
---------
to Geser
Сравнивать логи сложно ... я вот думаю - может, сделать параллельный лог в XML или CSV ?? (его можно запихать в комментарии HTML файла) - тогда сравнивать будет проще.

Geser
30.11.2005, 12:01
to Geser
Сравнивать логи сложно ... я вот думаю - может, сделать параллельный лог в XML или CSV ?? (его можно запихать в комментарии HTML файла) - тогда сравнивать будет проще.
Конечно можно сделать отдельный лог в удобном формате который будет где-то сохраняться, например в отдельной папочке. В коменты к логу исследования лучше не вставлять. Только зря увеличивать размер.

santy
30.11.2005, 13:49
Олег, нельзя ли во всех менеджерах и диспетчерах из меню "сервис" установить единую цветовую схему для бара? Как в диспетчере процессов: white/green для безопасных, white/blue для небезопасных элементов.

Oro
30.11.2005, 14:24
3. Это сложнее - возникает вопрос, как опознать подозрительный, который нужно игнорировать ?? Можно сделать ignore-list с MD5, местоположением и размером

А еще при сканировании портов на подозрительный порт ругается (5800) -> порты бы тоже в ignore-list.

Geser
30.11.2005, 14:24
Олег, посмотри на этот глюк http://virusinfo.info/showpost.php?p=60706&postcount=23

kesic
30.11.2005, 22:44
Олег, в папках infected/карантин, огромные кнопки. И было бы замечательно, если бы можно было изменить шрифт по умолчанию. Это конечно, касаемо интерфейса.

Зайцев Олег
30.11.2005, 23:49
Олег, посмотри на этот глюк http://virusinfo.info/showpost.php?p=60706&postcount=23
У этого человека какие-то чудеса - он или терминалкой на этом ПК сидит, или что-то похожее. Я сегодня устранил (вроде бы) данный баг, но не факт, что полностью.

Зайцев Олег
30.11.2005, 23:51
Олег, в папках infected/карантин, огромные кнопки. И было бы замечательно, если бы можно было изменить шрифт по умолчанию. Это конечно, касаемо интерфейса.
Не совсем понял - изменить только в этом окне илии вообще ? Сейчас во всех формах поголовно стоит "MS Sans Serif", на указанных кнопках размером 10 pt

Cool Cat
01.12.2005, 00:12
Писал когдато .....


Не могу посмотреть порты….. Открытые порты TCP/UDP выдаёт сообщение:

Access violation at address 00404D48 in module “avz.exe” Read address 00000010.

Тоже самое “вылезает” при попытке “Исследования системы” (при попытке создать)


Как я понял из темы (тестирования v3,80 и выше) сообщение типа..
Access violation at address 00404D48 in module “avz.exe” Read address 00000010.
связано с нехваткой оперативной памяти при определённом процессе …

Неужели AVZ .. становится ресурсоёмким?... ведь при сканировании он не грузит систему... да и работает быстро.

--------------------------------------------------------------------------

Недавно поставил себе дополнительную "полоску" памяти... досихпор сообщений непоявилось :)


--------------------------------------------------------------------------


Писал когдато .......

Иногда успевает сообщить вот это:
Ошибка при сканировании каталога C:\WINDOWS\Temp\ (Access violation at address 00401E75 in module 'avz.exe'. Write of address EA119F14 --> 6)

ИЛИ вот это:

Ошибка при сканировании каталога C:\ (Access violation at address 00401E8F in module 'avz.exe'. Write of address 01EA9B78 --> 6)

ХЗ что делать?

------------------------------------------------------------------------

Удалять непослушные tmp!!!

Кстати интересно что там за трабл при их скане - ведь они реально сводили сума AVZ... он
отрубался

Cool Cat
01.12.2005, 00:28
Можно ли сделать так чтоб при "включении" или "исключении" файлов по маске введённые расширения не "слетала" каждый раз при отк. вкл. AVZ
(Кстати спасибо за её доработку :) )


Приколно былоб если бы например при выборочном сканировании... "галки" на папках тоже не "слетали" .... а остовались в положении последнего сканирования AVZ.

RiC
01.12.2005, 00:33
У этого человека какие-то чудеса - он или терминалкой на этом ПК сидит.
При входе на терминал Win3k/TS в %systemroot% мапится (вернее в %systemroot% подсовывается ссылка) в %userprofile%, получается как-бы свой %systemroot% для каждого юзера, соответственно все изменяетые/добавляемые файлы в %systemroot% могут использоваться только этим юзером. Соответственно не копируется чистый "system32\smss.exe" в карантин, поскольку он есть в базе безопасных.
PS: Забыл я про эту мелкую пакость на TS.

kesic
01.12.2005, 01:55
Не совсем понял - изменить только в этом окне илии вообще ?
Во всех, т.е. вообще.
P.S. Кстати, о кнопках речь шла о двух окнах infected и карантин. Кнопки большие до безобразия.

RiC
01.12.2005, 14:15
Ещё похоже глючёк - http://virusinfo.info/showpost.php?p=60795&postcount=1
Раздел "Модули расширения проводника"

Зайцев Олег
01.12.2005, 14:19
Ещё похоже глючёк - http://virusinfo.info/showpost.php?p=60795&postcount=1
Раздел "Модули расширения проводника"
да, я уже заметил - там аналогичное в BHO наблюдается - как будто нет прав доступа к некоторым разделам реестра или к диску ... странно.

SDA
01.12.2005, 17:08
Олег! Предложение - имеет ли смысл проработать в AVZ функции монитора потенциально уязвимых участков системы, по принципу проги WinPatrol? Конечно это утяжелит программу, да и оперативку тоже. Но можно оставить выбор : включение, отключение монитора. Я не програмист, поэтому с позиции программирования может быть мое пожелание неверное или невыполнимое. Кроме того в концепции дальнейшего развития программы функции монитора не предусмотрены или наоборот?
Интересно получить ответ.

Зайцев Олег
01.12.2005, 19:02
Олег! Предложение - имеет ли смысл проработать в AVZ функции монитора потенциально уязвимых участков системы, по принципу проги WinPatrol? Конечно это утяжелит программу, да и оперативку тоже. Но можно оставить выбор : включение, отключение монитора. Я не програмист, поэтому с позиции программирования может быть мое пожелание неверное или невыполнимое. Кроме того в концепции дальнейшего развития программы функции монитора не предусмотрены или наоборот?
Интересно получить ответ.
Тут подход двоякий ... все зависит от того, как строить монитор.
1. Монитор на основе периодического опроса списка загруженных процессов и DLL. Достоинства - нет вмешательства в систему (перехвата функций и т.п.) и как следствие исключены конфликты с другими мониторами, тормоза и пожирание ресурсов невелики. Такой монитор существует, могу дать желающим его потестировать. Но в таком случае регистрация происходит после запуска зловредной программы;
2. Монитор на основе перехвата ряда функций системы - проверка производится до выполнения операции. Тут все с точностью до наоброт с п.п. 1 - возможны конфликты с мониторами, возможны тормоза - зато проверка производится до выполнения операции, с возможностью блокировки.
Путь номер 1 реализуется в любой операционной системе, путь номер 2 - специфичен для каждой платформы (по крайней мере для 9x и 2k/XP). Если надобность в в мониторе есть, то довести до ума его не проблема. Просто сейчас я дописываю новый эвристический анализатор - сейчас завершаются его тесты, на финальной стадии я наверное попрошу желающих потестировать эту штуку на виртуалке.

SDA
01.12.2005, 21:18
Олег спасибо за ответ. На мой взгляд п.2 "проверка производится до выполнения операции, с возможностью блокировки" более предпочтителен, хотя конфликты и тормоза и вмешательство в систему могут отпугнуть пользователей. Кстати я приводил пример принцип работы мониторинга WinPatrol, пользуюсь ей давно, глюков, тормозов и конфликтов с другими мониторами не замечал, может быть стоит взять у нее полезное для монитора AVZ, если вопрос с ним решится.

maXmo
01.12.2005, 23:16
Ведётся ли детектирование по косвенному признаку "большой трафик по 25 порту"?

Зайцев Олег
02.12.2005, 09:01
Ведётся ли детектирование по косвенному признаку "большой трафик по 25 порту"?
По признаку прослушки порта 25 - да, есть детект. А вот трафик не измеряется - я не отслеживаю обмен приложений с Инет

maXmo
02.12.2005, 13:08
зачем прослушка? Я имел в виду спам-бота, который ничего не слушает, а только отсылает, отсылает. Если отвлечься от номера порта, то можно регистрировать факт распространения виря. Ведь чтобы распространяться, вирь должен постоянно коннектиться к другим компам, слать им пакеты на один и тот же порт (с целью воспользоваться уязвимостью) (сколько вирей так делает?). Спам-бот отличается тем, что использует порт 25 и фиксированные адреса типа yandex.ru, mail.ru, gmail.com и т.п. (эти три он точно будет юзать... или их айпишники, можно ограничиться одним gmail'ом).

Имеет ли смысл реализовывать снифер с целью отслеживания распространения вирей по сети? Ведь это фактически реакция уже после запуска виря.