PDA

Просмотр полной версии : AVZ 4.32



Страницы : [1] 2 3 4 5

Зайцев Олег
21.08.2009, 15:41
Вышла новая версия антивирусной утилиты AVZ - 4.32. Архив с утилитой содержит базу вирусов от 21.08.2009 237871 сигнатура, 2 нейропрофиля, 56 микропрограмм лечения, 374 микропрограмм эвристики, 9 микропрограмм ИПУ, 115 микропрограмм поиска и устранения проблем, 135522 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований.
Основные модификации:
[+++] Скриптовой язык: усовершенствована чистка системы, добавлен ряд новых команд (IsWow64, GetAttr, SetAttr, GetFileVersion, RegKeyResetSecurity ...)
[+++] Менеджер автозапуска - добавлен анализ ряда новых нестандартных методов автозапуска, поддержка этих методов соответственно распространяется на эвристическую чистку системы (LSA провайдеры, Perfomance DLL службы, DLL расширения службы, расширение службы EventLog)
[+++] XML протокол - выводимая в него информация значительно расширена, оптимизирвоана и стандартизирована под автоматическую обработку (добавлен вывод данных визардов, антируткита, менеджера SPI)
[+++] Новый визард в мастере поиска и устранения проблема - "Очистка системы", предназначен для чистки мусора в системе (временных файлов, различных протоколов и кешей)
[++] Менеджер автозапуска - сканирование ключей автозапуска и папок автозапуска для всех учетных записей, с автоматическим удалением повторов
[++] Менеджер расширений IE - добавлена обработка новых типов расширений, улучшено удаление BHO из скрипта, расширена сохраняемая в XML информация
[++] Менеджер расширений Explorer - добавлена обработка новых типов расширений
[++] HTML протокол - добавлены новые интерактивные функции (удаление BHO, остановка процессов, удаление ключей автозапуска)
[++] Доработан менеджер портов TCP/UPD - добавлена поддержка Vista, W2K8, Windows 7
[++] Изменена идеология удаления файлов и ключей реестра. В случае неуспешного удаления производится попытка сбросить привилегии доступа к объекту и повтор попытки удаления
[++] Исследование системы - добавлена поддержка расширенного исследования системы с записью данных в XML, процедуры расширенного исследования хранятся в обновляемой базе данных
[++] Добавлена базовая поддержка Windows 7
[+] Карантин файлов - в описание файла добавлены данные о его атрибутах
[+] В менеджере поиска в реестре добавлена функция "Открыть в Regedit" (вызывается из меню по правой кнопки для списка найденных ключей)
[+] Новый ключ командной строки AM=Y - блокиратор базовых путей опознания окна AVZ
[-] Скриптовой язык: Исправлена работа DeleteFileMask и DeleteService - удаленные файлы не попадали в список удаленных для чистки системы и задания BC
[-] Устранена нестыковка расширений карантина BC с INI файлом (DTA/DAT)
[-] Исправлена работа системы отката изменений в мастере поиска и устранения проблем
[-] Устранена ошибка экспорта дефолтных параметров реестра в функции скрипта ExpRegKey и в различных системах AVZ, экспортирующих ключи реестра в REG файлы

Ссылка: http://www.z-oleg.com/secur/avz/download.php





Закрыто в связи с выходом новой версии http://virusinfo.info/showthread.php?t=82704

ALEX(XX)
21.08.2009, 15:49
Олег, Вы меняли GUI? Сейчас просто нет возможности проверить, но с версией 4,30 трудно было работать в безопасном режиме на широкоформатном мониторе 22". Кнопки диалоговых окон (и прочего) далеко выходили за границы изображения. Сегодня пришлось с таким столкнуться

Зайцев Олег
21.08.2009, 15:54
Олег, Вы меняли GUI? Сейчас просто нет возможности проверить, но с версией 4,30 трудно было работать в безопасном режиме на широкоформатном мониторе 22". Кнопки диалоговых окон (и прочего) далеко выходили за границы изображения. Сегодня пришлось с таким столкнуться
Не помню, что-то чуть-чуть оптимизировалось, но не радикально

Биомеханик
21.08.2009, 16:41
Скачка идёт с серверов ЛК? Как с нагрузкой? Может и версии будут выходить чаше?

Зайцев Олег
21.08.2009, 16:44
Скачка идёт с серверов ЛК? Как с нагрузкой? Может и версии будут выходить чаше?
А зачем чаще - если бы я сейчас писал бы AVZ с нуля, он бы вышел один раз - первый и последний, а все остальнео - в обновляемые базы. Сейчас файл лежит на моем сайте, так как кластеру ЛК нужно время на распространение файла ... как все будет готово, я переключу на ЛК, редирект автоматический и прозрачный

Биомеханик
21.08.2009, 16:49
А зачем чаще - если бы я сейчас писал бы AVZ с нуля, он бы вышел один раз - первый и последний, а все остальнео - в обновляемые базы. Сейчас файл лежит на моем сайте, так как кластеру ЛК нужно время на распространение файла ... как все будет готово, я переключу на ЛК, редирект автоматический и прозрачный
Так может так и написать. Типа разбить AVZ на модули и оставить маленький загрузчик. А модули обновлять.

А как же автоматическое обновление дистрибутивов каждый месяц на сайтах ЛК? Или оно тоже на автомате?

И ещё впросик что значит?
В новой версии в два раза расширена база чистых файлов

Зайцев Олег
21.08.2009, 16:53
И ещё впросик что значит?
Это значит, что база чистых была 70 с копейками тысяч файлов в 4.30 и мало пополнялась. Сейчас она почти в 2 раза больше по объему и пополняется очень оперативно. собственно эта база была в 4.30 доступна - через автоапдейт и постепенно

Nick222
21.08.2009, 17:15
Извините, а плагин для Бат будет меняться - или нововведения все в основной программе?
Или я поторопился скачать?

Зайцев Олег
21.08.2009, 17:22
Извините, а плагин для Бат будет меняться - или нововведения все в основной программе?
Или я поторопился скачать?
Будет - но не все же сразу

NickM
21.08.2009, 22:26
замечено: в разделе "Сервис--Открытые порты TCP/UDP", список обновляется автоматически (зачем кнопа обновить в левом верхнем углу?) при открытии/закрытии порта, и поэтому при частом обновлении таблица подвисает, а также после добавления/удаления порта в таблицу не всегда ячейки корректно перерисовываются,

по файлу помощи, нектритично, в разделе "Параметры командной строки--Основные параметры"

baburka
22.08.2009, 13:58
При запуске AVZ 4.32 под windows7 через некоторое время (от 8 до 18%) вылетает ошибка и AVZ подвисает. Скриншот ошибки во вложении.
Проверено на Windows7 RC1 и на Windows7 RTM.
Это как-то можно поправить?
Версия 4.30 работала без вопросов.

Resistant
22.08.2009, 18:14
В повседневную эксплуатацию в нашу жизнь все чаще и чаще стали входить 64 битные ОС. Скажи пожалуйста, а будет ли реализована поддержка 64 битный систем в частности AVZGuard. Будет ли это на уровне модулей или Паралельный проект.

ЗЫ. Большое спасибо за ваш очень нужный продукт. Очень облегчает нашу жизнь

Зайцев Олег
22.08.2009, 18:35
В повседневную эксплуатацию в нашу жизнь все чаще и чаще стали входить 64 битные ОС. Скажи пожалуйста, а будет ли реализована поддержка 64 битный систем в частности AVZGuard. Будет ли это на уровне модулей или Паралельный проект.

ЗЫ. Большое спасибо за ваш очень нужный продукт. Очень облегчает нашу жизнь
Но зловреды пока не вошли в обиход ... как только таковые появятся - будет и поодержка. Плюс в самом AVZ скоро будет более корректно сделана поддержка 64-бит платформ.

kps
22.08.2009, 21:48
Вот такое наслоение ссылки и надписи о переводе наблюдается на Висте в окне About (выбран англ. язык).

NickM
22.08.2009, 22:00
Вот такое наслоение ссылки и надписи о переводе наблюдается на Висте в окне About (выбран англ. язык).

на Vista HP SP2 в EN интерфейсе не подтверждаю

Br0m
22.08.2009, 22:06
при запуске "Мастер устранения проблем" -> "Чистка"
на машинах, где есть кардридер или подключен принтер/МФУ с кардридером проявляется такой эффект: появляется окно
"Windows - Диск отсутствует"
Exception Processing Message c0000013 Parameters 75b3bf9c 4 75b3bf9c 75b3bf9c
Отмена Повторить Продолжить
на функционал не влияет... жмем продолжить несколько раз и все

"Всего-то нужно было выдернуть из материнки картридер." (http://virusinfo.info/showthread.php?t=52704)

то есть проблемка известная - если будут проблемы с устранением, может добавить примечание к правилам?

okshef
22.08.2009, 22:10
Олег, спасибо за программу! Планируете ли исправить обработку ярлыков в Windows Vista и Windows 7? Например, ярлык Documents and Settings ведет к папке Users, а ярлык Application Data вообще парализует всю работу из-за зацикливания в папке ProgramData? И это не единственный "зацикленный" ярлык.

Зайцев Олег
22.08.2009, 22:16
Олег, спасибо за программу! Планируете ли исправить обработку ярлыков в Windows Vista и Windows 7? Например, ярлык Documents and Settings ведет к папке Users, а ярлык Application Data вообще парализует всю работу из-за зацикливания в папке ProgramData? И это не единственный "зацикленный" ярлык.
Это не ярлыки, это ссылки ... я поправлю это в 4.34. Версия 4.32 не должны была выйти вчера - просто базы переполнились и пришлось создать сборку, в которой только то, что протестировано и более-менее работает

kps
22.08.2009, 22:20
я поправлю это в 4.34.
а 4.33 "перепрыгивается" ?

NickM
22.08.2009, 22:23
а 4.33 "перепрыгивается" ?

из мира Linux, чётные числа обозначают стабильные ревизии? :)

kps
22.08.2009, 22:32
из мира Linux, чётные числа обозначают стабильные ревизии? :)

Ну, у AVZ были и 4.27 например и 4.29 вполне стабильными :)

NickM
22.08.2009, 22:34
Ну, у AVZ были и 4.27 например и 4.29 вполне стабильными :)

оффпост:
верно, политика изменилась с версии 4.30, 4.31 не было, :)

Зайцев Олег
22.08.2009, 22:37
оффпост:
верно, политика изменилась с версии 4.30, 4.31 не было, :)
Это как раз нормально ... нечетные версии для внутреннего тестирования, четные - публичные. Т.е. 4.33 - для внутренних тестов, 4.34 - реклиз и т.п.

NickM
22.08.2009, 22:38
Это как раз нормально ... нечетные версии для внутреннего тестирования, четные - публичные. Т.е. 4.33 - для внутренних тестов, 4.34 - реклиз и т.п.

а можно принять участие во внутреннем тестировании?

Зайцев Олег
22.08.2009, 22:47
а можно принять участие во внутреннем тестировании?
Оно доступно для хелперов и внешних специалистов ... плюс для энергетиков - я у себя применяю стабильные сборки, обкатывая их на ITW зверях :)

Oyster
23.08.2009, 07:04
Маленькое пожелание - раз уже менеджер автозапуска стал проверять все учётные записи, то было бы полезно к ссылкам в разделе реестра HKUS указывать имена соответствующих учёток, как это сделано в HijackThis.

AndreyKa
24.08.2009, 21:05
И раньше замечал, что в архивах "чистых/неопознаных" файлов попадаются явные зловреды, но не обращал особого внимания.
Сегодня вылечил компьютер в теме http://virusinfo.info/showthread.php?t=52788 и запросил прислать авторкарантин. Оказалось, что в автокарантин попадает и то, что уже находится в карантине на данный момент: http://virusinfo.info/showpost.php?p=455149&postcount=2418
Так может добавить в начало 4-го стандартного скрипта очистку карантина?

Зайцев Олег
24.08.2009, 22:17
И раньше замечал, что в архивах "чистых/неопознаных" файлов попадаются явные зловреды, но не обращал особого внимания.
Сегодня вылечил компьютер в теме http://virusinfo.info/showthread.php?t=52788 и запросил прислать авторкарантин. Оказалось, что в автокарантин попадает и то, что уже находится в карантине на данный момент: http://virusinfo.info/showpost.php?p=455149&postcount=2418
Так может добавить в начало 4-го стандартного скрипта очистку карантина?
Это было криточно, пока анализ был полуавтоматический. Сейчас это не обязательно - карантины скрипта 4 "смотрит" "кибер", а это всеядная мясорубка ... а вот в скриптах 2 и 3 чистка карантина стоит - на случай обратной ситуации (что карантиня скриптом 1 файл мы можем получить еще сотню - то, что почему-то было помещено в карантин ранее)

rxx
25.08.2009, 07:11
опечатка:
Disable callback - уже нейтирализованы

Alex_Goodwin
25.08.2009, 10:23
http://virusinfo.info/showthread.php?t=52793
Дров голдума не был виден в логах АВЗ..

nisome
26.08.2009, 12:38
Обнаружена проблема: при переходе с предыдущей (публичной версии) невозможно завершить удаление драйвера AVZ и всех настроек, как того требует рекомендация по обновлению.
При активации AVZPM\Удалить_и_выгрузить_драйвер, после перезагрузки драйвер по прежнему в системе.
Запуск стандартного скрипта №6 также не удаляет драйвер AVZ. Пробовал, делать, как версией 4.30, так и 4.32.

Как решил:
Файл ?:\WINDOWS\system32\drivers\uzm5mti2.sys прибил отложенным удалением, далее скрипт №6.

gjf
27.08.2009, 14:50
Появилась новая интересная зараза, пока, правда, только с функционалом саморазмножения. Induc.a называется, о ней весьма хорошо описано тут (http://www.securelist.com/ru/weblog/39134/Istoriya_Indyuka).

Олег, понятно, что данный тип заразы в принципе нов, да и неопасен (пока), но может быть имеет смысл включить процедуру поиска заражённого sysconst.pas/sysconst.dcu в AVZ?

kps
27.08.2009, 15:14
Появилась новая интересная зараза, пока, правда, только с функционалом саморазмножения. Induc.a называется, о ней весьма хорошо описано тут (http://www.securelist.com/ru/weblog/39134/Istoriya_Indyuka).

Олег, понятно, что данный тип заразы в принципе нов, да и неопасен (пока), но может быть имеет смысл включить процедуру поиска заражённого sysconst.pas/sysconst.dcu в AVZ?

AVZ не предназначен для борьбы с файловыми вирусами.

gjf
27.08.2009, 15:20
Коллега, вы невнимательно прочитали обзор. Индюк - не файловый вирус в прямом понимании. Вы же не будете считать какой-нибудь VkHost (http://www.securelist.com/ru/descriptions/12350206/Trojan.Win32.VkHost.an) к примеру тоже файловым вирусом?

kps
27.08.2009, 15:44
Я внимательно прочитал.

В первую очередь, это способ размножения — вирус не заражает непосредственно исполняемые файлы, используя заражение файлов компилятора языка программирования.
Если он дописал свой код в текстовый или какой-либо ни было файл компилятора, то лечение файла - это удаление оттуда вредоносного кода, при этом не удаляя оригинальный файл (AVZ не предназначен для этого). По сути это лечение от файлового вируса.

Добавлено через 18 минут


Вы же не будете считать какой-нибудь VkHost (http://www.securelist.com/ru/descriptions/12350206/Trojan.Win32.VkHost.an) к примеру тоже файловым вирусом?

Указанный троян здесь не причем, т.к. он не записывает свой вредоноcный код в другой файл для размножения и заражения других файлов. Редактирование файла hosts - типичное троянское действие.

gjf
27.08.2009, 16:03
Ну я бы так не сказал... Дописали в hosts фишиновый сайт - и в итоге имеем заражение компьютера каждый раз при заходе на vkontakte. Чем не путь заражения?
Да и дописывание в autoexec.bat - тоже суть файловый вирус. Или типичное троянское поведение?
Всё, что я хотел - это просто внести предложение. В AVZ есть отличный класс TStringList, можно наваять на нём код для поиска и очистки текстовых файлов от заразы и просто включить его в базы.
Ну да если предложение не поддерживается (тут, безусловно, решать Олегу) - за сим откланиваюсь.

kps
27.08.2009, 16:48
Ну я бы так не сказал... Дописали в hosts фишиновый сайт - и в итоге имеем заражение компьютера каждый раз при заходе на vkontakte. Чем не путь заражения?

В hosts не записывается вирусный код для заражения других файлов. И для поиска плохих записей в хостс не делается сигнатура на эти самые записи (насколько мне известно). Мы просто смотрим содержимое и сами решаем, какие записи хорошие, а какие нет.
Не углубляясь в эту дискуссию можно отметить 2 факта:
1) Для лечения файла/файлов компилятора придется писать сигнатуру для лечения файла от вируса, основное же применение AVZ это ручной поиск, а не сигнатурное сканирование.
2) AVZ не занимается выкусыванием плохого кода, не удаляя оригинальный файл.


Всё, что я хотел - это просто внести предложение. В AVZ есть отличный класс TStringList, можно наваять на нём код для поиска и очистки текстовых файлов от заразы и просто включить его в базы.
Ну да если предложение не поддерживается (тут, безусловно, решать Олегу) - за сим откланиваюсь.

Конечно решать Олегу :) Я просто высказал свое мнение, и сказал о назначении утилиты. Еще не разу мы ее не использовали для лечения файла.
Имхо, приоритетно подкрутить AVZ в плане детекта руткитов, а не лечения файлов, еще и зараженных экзотическим вирусом по экзотическому методу :) Для лечения есть антивирус.

gjf
27.08.2009, 16:57
2) AVZ не занимается выкусыванием плохого кода, не удаляя оригинальный файл.


Иногда Brontok (http://www.securelist.com/ru/descriptions/156409/Email-Worm.Win32.Brontok.q) лепит ко всему прочему в autoexec.bat строчку pause. Так вот....

var
SL : TStringList;
X : integer;
begin
......
SL := TStringList.Create;
SL.LoadFromFile('%SysDrive%/autoexec.bat');
SL.Delete(SL.IndexOf('pause'));
SL.SaveToFile('%SysDrive%/autoexec.bat');
SL.Free;
.....
end.

В итоге - строчку удалим, файл сохраним. С помощью AVZ!

Ну так что - выкусили вредоносный код? ;)

Добавлено через 2 минуты



Имхо, приоритетно подкрутить AVZ в плане детекта руткитов

А вот к этому присоединяюсь всеми фибрами души :)
Задолбало пользовать сторонние Gmer'ы и Avenger'ы...

kps
27.08.2009, 17:06
В итоге - строчку удалим, файл сохраним. С помощью AVZ!

Вы меня не так поняли :) Я имел ввиду, что (и это есть в справке) AVZ по назначению не предназначена для выкусывания кода, а не то, что это невозможно сделать посредством AVZ. Сделать то можно, но это затраты сил и вопрос цели использования.

gjf
27.08.2009, 17:11
Ладно, оставим дебаты и предоставим решение разработчику :)
Пока это действительно просто proof-of-concept.
Но в любом случае идея может получить развитие - и многие программисты не будут заинтересованы в постоянном заражении своих проектов.

NickM
28.08.2009, 20:08
может не по теме, но в редакторе скриптов AVZ_SE замечено, при вставке через "Добавить команду" если нажать кнопку "ОК" не выбрав команду программа выдает ошибку "ошибка доступа по адресу"

Павлик
28.08.2009, 20:42
Здравствуйте. Раньше при скачивании АВЗ предыдущих версий КИС2010 помещал её в доверенные. А сейчас в слабые ограничения. Мало того он(КИС2010) её расценивает как угрозу(см.скриншот). Это КИС ошибается или она(АВЗ) действительно содержит какую-то угрозу????

Гриша
29.08.2009, 00:28
1. Скрин это алерт PDM на загрузку драйвера

2. AVZ.exe (4.32) уже находится в базе KLSRL и попадает в "Доверенные"

Bratez
30.08.2009, 15:44
При создании лога syscheck (станд. скрипт #2) затирается содержимое карантина и туда помещается копия лога!!

Сегодня у клиента накарантинил кучу интересного, в конце лечения сделал syscheck... приношу флешку домой, а там и в LOG - лог, и в QUARANTINE - лог :(...

Зайцев Олег
30.08.2009, 15:54
Скрипт номер 2 и 3 нельзя делать в конеце лечения - в них встроены команды очистки карантина (т.е. нужно или делать их в начале, или карантин куда-то копировать). Причина очистки карантина в том, что нередко в "Помогите" пользователь сам что-то карантинил, или карантин забит чем-то от предыдущих скриптов и проверок, и это все присылается на анализ раз за разом

Bratez
30.08.2009, 17:25
Скрипт номер 2 и 3 нельзя делать в конеце лечения - в них встроены команды очистки карантина (т.е. нужно или делать их в начале, или карантин куда-то копировать).
Скрипт номер 2 всегда делается после убиения зловредов "для контроля". Раньше этой очистки не было. Очень неудобно... :?
Для 3-го скрипта еще можно понять такую логику, а для 2-го imho очистка совершенно ни к чему.

...и это все присылается на анализ раз за разом
Ну теперь будут слать копии своих логов...

Зайцев Олег
30.08.2009, 18:54
Ну теперь будут слать копии своих логов...
Не совсем ясно, о каких копиях каких логов идет речь - пока ни от кого такие копии не приходили :)

Bratez
31.08.2009, 03:06
Не совсем ясно, о каких копиях каких логов идет речь
http://virusinfo.info/showpost.php?p=458793&postcount=44
Хотя вот сейчас специально проэкспериментировал - копирования логов не произошло и карантин не затерся... Странно. Может глюк какой-то был с файловой системой. Тогда пардон...

nisome
31.08.2009, 16:22
1.Можно добавить (для кучи) в "Мастер поиска и устранения проблем/очистка" удаление кэша иконок и шрифтов системы:

%userprofile%\Local Settings\Application Data\IconCache.db
%userprofile%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

P.S. Иногда глючат иконки на рабочем столе из-за ошибке в базе IconCache.db, и со шрифтами пару раз замечал что-то такое...

2. P.P.S. Олег, можно сделать очистку папки TEMP не только для текущего пользователя, но и для всех остальных, чтобы под разными логинами не заходить в систему?

Добавлено через 8 минут

3. Есть одна загвоздка: папка Temp может находиться не в %userprofile%, а в совершенно другом месте, в зависимости от системных настроек.
Я на своих компьютерах перемещаю временные папки всех пользователей в C:\TEMP (например, C:\TEMP\USER; C:\TEMP\BIG_BOSS и т.п), чтобы исключить глюки, возникающие в приложениях при обработке длинных путей, содержащих пробелы ("Documents and Settings" ).

Зайцев Олег
31.08.2009, 16:29
1.Можно добавить ...
Отвечаю по пунктам:
1. Да, если тесты покажут, что это не опасно и для систему не критично, то чистка будет обязательно добавлена (принимаются аналогичные пожелания)
2. В теории - да (т.е. технические енумерировать профили и почистить труда не составляет), но на практике это не очень хорошо, копаться в профилях других пользователей. Поэтому чистятся только профиль системы (windows\temp) и текущего юзера
3. Это учтено - местоположение TEMP-пов определяется автоматически из переменных окружений

nisome
31.08.2009, 16:49
... местоположение TEMP-пов определяется автоматически из переменных окружений
Это хорошо для текущего пользователя, но как быть, если вошёл в систему как USER1, а надо узнать путь для USER2?
Некоторое время назад я взялся писать скрипт для AVZ для очистки всех временных папок пользователей. Софт в настоящее время пишут неважно: программы сильно пакостят во временную папку (не убирают за собой), особенно MSOffice. Со временем там оседают гигабайты хлама. Причём, это может мешать работать этим же программам.

Путь к временной папке я хотел брать из реестра. Но столкнулся с другой проблемой: соответствующие ветки реестра у неактивных пользователей не загружены (не видны в редакторе реестра в HKEY_USERS). Наверное, их можно как-то загрузить, я не очень разбираюсь в WinAPI.

kereyt
01.09.2009, 15:35
Добрый день!
Извиняюсь, если не в тему, но прошу пояснить мне одну вещь - драйвер uzi3otqy.sys - это драйвер AVZ?
ОС - Windows XP Home. Как только перешел на версию 4.32 (с 4.30 все было отлично) стали выскакивать синие экраны - 0x00000c2, 0x00000050...
Расшифровка минидампа указывает на uzi3otqy:

C:\>kdfe.cmd "c:\windows\minidump\Mini090109-03.dmp"

Analyzing "c:\WINDOWS\Minidump\Mini090109-03.dmp", please wait... Done.

Crash date: Tue Sep 1 11:22:41.296 2009 (GMT+5)
Stop error code: 0xc2_7
Process name: System
Probably caused by: uzi3otqy.sys ( uzi3otqy+177b )

...

Crash date: Tue Sep 1 14:18:59.098 2009 (GMT+5)
Stop error code: 0x50
Process name: System
Probably caused by: uzi3otqy.sys ( uzi3otqy+1889 )

...

Удалил и выгрузил драйвер расширенного мониторинга... Вроде пока тихо.
Может ли быть AVZ (вернее драйвер) причиной синего экрана?

P.S. На другом компе нашел такой драйвер - uze4odky.sys...

PavelA
02.09.2009, 09:37
Да, это от AVZ. У Вас там Outpost или Макаффи не стоит? Из-за них могут быть проблемы.

strat
02.09.2009, 10:34
Лечил от вируса компьютер на работе. BC драйвер avz определился TrendMicro

Virus alert.
TROJ_Generic.DIT is detected on ... domain.
Infected file: C:\WINDOWS\system32\Drivers\vdm3mtq3.sys
Detection date: 01.09.2009 17:35:40
Action: Virus successfully detected, cannot perform the Clean action (Cannot perform the Quarantine action)


Я как раз делал проверочный лог после лечения и в лог попал этот драйвер


vdm3mtq3
AVZ-BC Kernel Driver Не запущен C:\WINDOWS\system32\Drivers\vdm3mtq3.sys
Boot Bus Extende
уж не стал скрин делать

kereyt
02.09.2009, 13:56
Да, это от AVZ. У Вас там Outpost или Макаффи не стоит? Из-за них могут быть проблемы.

Да нет, стоит avast! Файрволлов, кроме родного, нет.
Второй день, как выгрузил драйвер - полет нормальный!
А больше никак это не лечится? Я иногда проверяю в дополнение к avast! и утилитой AVZ. Очень нравится, полезная вещь. Но как теперь быть-то?

kps
02.09.2009, 14:25
Лечил от вируса компьютер на работе. BC драйвер avz определился TrendMicro
Я как раз делал проверочный лог после лечения и в лог попал этот драйвер
уж не стал скрин делать

Это известно давно, что бут-драйвер AVZ детектят, кому не лень (или кому нечего делать :) ). После отсылки в антивирусные компании некоторые антивирусы перестали детектировать его, но не все устранили ложное срабатывание.

PavelA
02.09.2009, 14:52
Но как теперь быть-то?
Станд. скрипт №6 должен помочь.

kereyt
02.09.2009, 16:01
Станд. скрипт №6 должен помочь.

нет, драйвер мне удалить получилось. я про то, что мне значит не получится пользоваться AVZ на этом компе?
Синий экран теперь всегда будет меня преследовать при установке AVZ-драйвера расширенного мониторинга процессов? :?
Получается конфликт с чем-то? Как мне найти откуда дует ветер? Помогите, плиз, советом :sos: ...

PavelA
02.09.2009, 16:04
через "Диспетчер устройств" можно - показать скрытые и там его удалить.

nisome
02.09.2009, 16:24
Добрый день!
Как только перешел на версию 4.32 (с 4.30 все было отлично) стали выскакивать синие экраны

При переходе на следующую версию программы рекомендуется выгрузить и удалить AVZPM через меню, а так же удалять остальные настройки и драйвера скриптом №6. У меня с выгрузкой AVZPM были проблемы (см. выше) на 2х компьютерах из 10. Пришлось ручками вычищать драйвер, который не хотел удаляться.

P.S. А ещё я бы глянул после чистки и перезагрузки, может что и осталось в памяти от AVZ (AVZ, модули пространства ядра).

kereyt
02.09.2009, 18:06
Ааа, понял свою ошибку - я удалил (всю папку AVZ) старую версию (4.30), не удалив предварительно драйвер расширенного мониторинга процессов...
Я так понял драйвер на разных компах именуется по-разному, но цифра 3 посередине есть и на "u" начинается - uzc3oday.sys у себя такой нашел. Прямо на вирус похож ;-)

icotonev
03.09.2009, 10:53
Hello!My name is Ico!I am from Bulgaria!I was extremely nice that I can write in this forum...despite my bad English!I hope you will forgive me!My question is:?
I have a problem with the language interface of the program ..?In primary launch is always in English.If you want to pass a Russian language execute this:
RUN - CMD - D: - AVZ4 - AVZ.EXE LANG=RU

Could there be a button to change the language and the user can choose his language interface without having to perform command CMD
Thanks in advance for your reply!

p.p The answer may be in a Russian language!

F_L
03.09.2009, 13:09
При запуске AVZ 4.32 под windows7 через некоторое время (от 8 до 18%) вылетает ошибка и AVZ подвисает. Скриншот ошибки во вложении.
Проверено на Windows7 RC1 и на Windows7 RTM.
Это как-то можно поправить?
Версия 4.30 работала без вопросов.У меня установлена версия (OS) Microsoft Windows 7 Максимальная/Ultimate 64-bit. Подтверждаю проблему указанную выше. Как только дело доходит у меня до 93% и проверки файла pcwum.dll получаю картинку "Во вложении".
И ещё 1 вопрос, использую скрипт обновления "Во вложении", так вот, всё обновляется, вроде всё хорошо, но после обновления иконка из системного трея самостоятельно не исчезает. Но стоит навести на неё мышкой, и она пропадает как будто её нету там уже :) Для запуска использую ярлык: "C:\Program Files (x86)\avz4\avz.exe" HiddenMode=1 script=update.txt

Oyster
03.09.2009, 17:20
иконка из системного трея самостоятельно не исчезает. Но стоит навести на неё мышкой, и она пропадает как будто её нету там ужеВ Windows Millennium аналогично :)

Зайцев Олег
03.09.2009, 18:01
Hello!My name is Ico!I am from Bulgaria!I was extremely nice that I can write in this forum...despite my bad English!I hope you will forgive me!My question is:?
I have a problem with the language interface of the program ..?In primary launch is always in English.If you want to pass a Russian language execute this:
RUN - CMD - D: - AVZ4 - AVZ.EXE LANG=RU

Could there be a button to change the language and the user can choose his language interface without having to perform command CMD
Thanks in advance for your reply!

p.p The answer may be in a Russian language!
AVZ выбирает язык автоматически. Если система русскоязычная, то включается русский, иначе - английский. Если автовыбор не подходит, то можно создать профиль локализации - INI файл с настройкой. Описание как этосделать есть тут - http://z-oleg.com/secur/avz_doc/t_localization.htm

icotonev
03.09.2009, 21:04
Thank you very much,Oleg! Now occupy, and I am sure you will get!Use case ask When will I be considered for registration participation in training program ?http://virusinfo.info/profile.php?do=editusergroups

Be sure that in Bulgaria there are many fans AVZ!

icotonev
04.09.2009, 10:50
Hello! Have one more question!Can a AVZ to take preventive scans in order to prevent infection ..? One species, immune system ....This idea is not it ....to do everything possible not to resort to the services of a helper ..!:)

Aleks San
04.09.2009, 11:23
Подскажите как заставить AVZ проверять и лечить систему, но не ту которая запущена. К примеру есть компьютер который в безопасном режиме не запускаеться, а в обычном режиме рабочий стол заблокирован, ctrl+del+alt и win+u не работают. Но есть возможность запустить AVZ загрузившись с компакт диска LiveCD. Вот только в нем утилита востанавливает настройки операционой системы что запустилась с CD-диска, а как указать что востановить то нужно ту, что на жестком диске C:

chas99
06.09.2009, 15:57
Aleks San,

а если попробовать вариант -запуск AVZ при загрузке..

1.скопировать на диск с:\avz4\ (со свежими обновлениями=)
2.в реестре добавить вызов AVZ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,c:\\avz4\\avz. exe,"

перезагружаемся и сразу лечимся =)

Bratez
06.09.2009, 16:47
Aleks San,
к сожалению, никак. AVZ не может исследовать и восстанавливать неактивную систему. Можно только просканировать диск, но смысла в этом немного, т.к. у AVZ не очень большая сигнатурная база. Если у вас свежий DrWeb LiveCD, то именно им и надо сканировать.

chas99,
мысль в принципе здравая, попробовать можно, только вы забыли сообщить, как редактировать реестр неактивной системы, загрузившись с LiveCD. Кстати, как вариант - запуск avz.exe вписать не в дополнение к userinit, а вместо explorer.exe (Shell=c:\avz4\avz.exe).

icotonev
06.09.2009, 22:13
AVZ выбирает язык автоматически. Если система русскоязычная, то включается русский, иначе - английский. Если автовыбор не подходит, то можно создать профиль локализации - INI файл с настройкой. Описание как этосделать есть тут - http://z-oleg.com/secur/avz_doc/t_localization.htm


Я решил этот вопрос следующим образом:

http://prikachi.com/files/1050934W.jpg

http://prikachi.com/files/1050938v.jpg

У меня уже есть обе версии!:)

Zeroes
08.09.2009, 14:51
У нас в организации эксплуатируется Trend Micro OfficeScan 10 и часто (в
80% точно уверен) когда пользуешься сканированием утилитой AVZ, рил-тайм защита OfficeScan
ругается на найденные вирусы в TMP файлах AVZ (AVZ 4.30-4.32).

Незнаю как ведут себя другие антивирусные движки...

Можно ли что-то сделать со стороны AVZ так чтобы такого не происходило?

Вирус или злонамеренная программа: TROJ_PACKED.CBF
Файл: C:\TEMP\avz_3468_1.tmp
Дата и время: 08.09.2009 10:26:56
Результат: Поместить в карантин

Вирус или злонамеренная программа: BKDR_GRAYBIR.BKU
Файл: C:\TEMP\avz_3468_1.tmp
Дата и время: 08.09.2009 10:31:37
Результат: Поместить в карантин

Вирус или злонамеренная программа: Cryp_Xed-12
Файл: C:\TEMP\avz_3468_1.tmp
Дата и время: 08.09.2009 10:34:53
Результат: Пропущена потенциальная угроза безопасности

Вирус или злонамеренная программа: WORM_SDBOT.FOP
Файл: C:\TEMP\avz_3468_1.tmp
Дата и время: 08.09.2009 10:38:53
Результат: Поместить в карантин


OfficeScan не позволяет добавить исключения (по маске) типа AVZ_*.tmp :(

AndreyKa
08.09.2009, 15:11
Можно ли что-то сделать со стороны AVZ так чтобы такого не происходило?AVZ не виновата, она проверяет файлы на компьютере. Если они в архиве, то распаковывает во временную папку.
Чтобы понять, примерно, откуда файлы, можно посмотреть на строку состояния AVZ.
Или проверить диск С вашим антивирусом.
Вообще, при проверке AVZ антивирус лучше отключить (быстрее будет).

Zeroes
08.09.2009, 15:17
AVZ не виновата, она проверяет файлы на компьютере. Если они в архиве, то распаковывает во временную папку.
Чтобы понять, примерно, откуда файлы, можно посмотреть на строку состояния AVZ.
Или проверить диск С вашим антивирусом.
Вообще, при проверке AVZ антивирус лучше отключить (быстрее будет).

Я к тому что если сканировать комп Trend Micro он этих вирусов нигде бы не нашел.
Он их почему то детектит в Tmp этих, в avz_*.tmp только файлы идентичные которые взяты с FileSystem или из архивов? своих данных не может быть?

Добавлено через 43 секунды


PS. Можно ли с помощью AVZ сделать запрет автозапуска с носителей?

если нет, можно ли добавить такую функциональность?

AndreyKa
08.09.2009, 15:25
если сканировать комп Trend Micro он этих вирусов нигде бы не нашелПроверку архивов включали?


Он их почему то детектит в Tmp этих, в avz_*.tmp только файлы идентичные которые взяты с FileSystem или из архивов? своих данных не может быть?Не уверен что понял.
Свои данные AVZ хранит в своей папке.

PavelA
08.09.2009, 17:14
PS. Можно ли с помощью AVZ сделать запрет автозапуска с носителей?
- мастер решения проблем. Смотрите там.

Kuzz
08.09.2009, 17:17
Zeroes, Добавлю только то, что AVZ так же распаковывает программы, сжатые exe-пакерами, chm и msi файлы и многие другие. Если у Вашего антивируса нет поддержки таких пакеров/контейнеров, то он будет ловить только распакованые части

Zeroes
09.09.2009, 10:11
Не совсем верный вывод информации?
"Отключено автоматическое обновление системы (Windows Update)" ?

http://screenshot.su/show.php?img=9e7e41f0ad22f9cff6ead06459c73b93.jpg

AVZ последний с последними базами.

WinXPsp3, компьютер в домене и обновления настроены на локальный WSUS сервер.

chas99
09.09.2009, 14:46
некритично, однако =)

Чистка системы - Очистка корзины...

корзина очищается, но иконка корзины на рабочем столе остается такая же как у не пустой...

Zeroes
09.09.2009, 15:48
Иконка не меняется потому что AVZ не использует стандартную API функцию:
SHEmptyRecycleBin от Shell32, а использует "ручную" очистку каталога.

возможно потому что стандартная функция не всегда обеспечивает удаление? (например возможно стандартная функция может не удалить один из файлов вируса Kido типа <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, там сброшены права на RO на NTFS, плюс подозреваю что стандартная очистит только корзину текущего юзера по SID'у,а реализация AVZ удаляет всё внутри каталога RECYCLER/D)

2Автор: если это так, то может сделать сначала удаление стандартным способом, а потом прогнать каталог своим?

Vovanich
09.09.2009, 17:49
Ребят, может что-то не так делаю, не могу установить через меню программы AVZPM в х64 системах (Vista HP, Server 2008). Я выбираю "установить..." и ничего не происходит. Загружаюсь в режиме "отключить проверку драйверов".

AndreyKa
09.09.2009, 18:02
Vovanich, у AVZ просто нет 64-х битных драйверов. :(

Vovanich
09.09.2009, 23:43
AndreyKa, понятно. Тогда можно сказать что диагностика 64-битных систем будет неточной?

AndreyKa
10.09.2009, 00:34
Определенно да. Но пока ситуация не критичная, 64-х битных вредоносных программ в диком виде практически нет.

AndreyKa
11.09.2009, 00:56
Олег, в теме http://virusinfo.info/showthread.php?t=54470 удаляли файл C:\WINDOWS\system32\basemxq32.dll который загружался через HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems.
ПОчему-то не сработала автоматическая корректировка измененного ключа реестра.

AndreyKa
14.09.2009, 10:39
В логах темы http://virusinfo.info/showthread.php?t=54692 видна явная активность червя типа Кидо, а его файлов или записей о маскировке ключа службы не видно. :(
Это что, появилась версия, не оставляющая файла на диске после заражения, или новый способ автозапуска?

gjf
14.09.2009, 11:24
В логах темы http://virusinfo.info/showthread.php?t=54692 видна явная активность червя типа Кидо, а его файлов или записей о маскировке ключа службы не видно. :(
Это вы по многочисленным стукам на 135 порт решили? Уверены, что пользователь ничего не запускал и не лазил в сети во время сканирования?

А вот это:

jar_cache1482.tmp

и прочие с номерами - я бы закарантинил.
И вот это:

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

нехорошо.

light59
14.09.2009, 12:11
Кидо стучится на 139 и 445 порты, а там 135.

jar_cache1482.tmp - это от ява.


Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Там дальше в логе " Драйвер успешно загружен"

AndreyKa
14.09.2009, 17:18
Раньше команда ClearQuarantine чистила карантин только за текущую дату, теперь совсем не работает.

Макcим
14.09.2009, 19:08
Можно с помощью AVZ удалять записи в автозагрузке на несуществующие файлы? И желательно делать это до создания лога, чтобы было меньше мусора.

Kuzz
14.09.2009, 20:22
Maxim, а если это существующий файл? Но маскирующийся...

Он не закарантинится, и тушка не пойдет в вир-лаб

Макcим
14.09.2009, 21:56
Во-первых при подозрении на маскировку идут в ход антируткиты. Во-вторых ну удалим мы запись в реестре, а маскирующийся файл так и останется. В-третьих, как он закарантинится, если AVZ будет считать его не существующим?

AndreyKa
15.09.2009, 09:48
Вчера обновление баз AVZ не вышло. :(

SuperBrat
16.09.2009, 08:23
Вчера обновление баз AVZ не вышло. :(
А с чем это связано?

XiTri
16.09.2009, 16:15
Может есть смысл добавить в "мастер поиска проблем" или "эвристической проверки системы"
ругню на файл %SystemDrive%\Program.exe
Вроде как и скрытый автозапуск и проблема в работе системы.

Зайцев Олег
16.09.2009, 17:19
Вчера обновление баз AVZ не вышло. :(
Вышло "...база от 15.09.2009 23:09". Просто толпы посететелей заваливают мой сайт почище DDoS и я включил кеширование PHP-шек, а то хостер очень сильно переживает о загрузке сервера. С кешированием все работает, но информер то тоже кешируется и показывает старые данные

Karlson
16.09.2009, 17:29
Олег, может тебе услуги по DDoS-у уже пора оказывать? ;) всунуть обновление на чей-нить сервак - и привет :)

AndreyKa
16.09.2009, 17:34
Вышло "...база от 15.09.2009 23:09".
15-го числа "вчера" было 14-ое. Обновления AVZ 14 числа не было. Во всех последних логах AVZ указано, что базы за 13 или 15 число.

Зайцев Олег
16.09.2009, 17:38
15-го числа "вчера" было 14-ое. Обновления AVZ 14 числа не было. Во всех последних логах AVZ указано, что базы за 13 или 15 число.
Обновление идет в зоне 23-24 часов один раз в сутки ... может быть, оно попало в следующий день ввиду перегрузки сайта

Surfer
17.09.2009, 17:19
Существует ли полиморфный 4.32 ?

PavelA
17.09.2009, 17:49
Да. См. мою подпись.

4r0
18.09.2009, 14:40
У меня AVZ 4.32 находит нарушение ассоциаций EXE и COM файлов, исправить не может. Что делать?

AndreyKa
18.09.2009, 14:56
У меня AVZ 4.32 находит нарушение ассоциаций EXE и COM файлов, исправить не может. Что делать? Ничего, этот глюк появился после вчерашнего обновления баз AVZ.
Будем надеятся, что скоро исправят.

Torvic99
18.09.2009, 16:14
Ничего, этот глюк появился после вчерашнего обновления баз AVZ.
Будем надеятся, что скоро исправят.
Интересно только почему этот глюк вылазит на некоторых компах?

Kuzz
18.09.2009, 16:45
Интересно только почему этот глюк вылазит на некоторых компах?

А если сравнить значения в HKLM и HKCU?
Может там корень?

Nikkollo
18.09.2009, 17:33
С появлением в "Мастере поиска и устранения проблем" "Чистки системы" начала ощущаться нехватка кнопок "Отметить все" и "Снять все отметки"... :)

Зайцев Олег
18.09.2009, 18:06
Интересно только почему этот глюк вылазит на некоторых компах?
Это же глюк -как же иначе :) Сегодня выйдет апдейт, который его уберет

AndreyKa
18.09.2009, 22:44
Сегодня выйдет апдейт, который его уберет
Обновление дошло, глюк пропал.

nisome
18.09.2009, 22:55
Это же глюк -как же иначе :) Сегодня выйдет апдейт, который его уберет

А я сегодня вирусы искал на компьютере из-за этого, прямо обыскался. :) Хорошо, что это всего-лишь ложное срабатывание.

Mad Scientist
24.09.2009, 00:00
Я использовал пример из
http://www.codeproject.com/KB/cs/globalhook.aspx
(globalhook2_demo)
AVZ не обнаружил установленную ловушку

4r0
25.09.2009, 15:14
Зайцев Олег, у меня Windows XP Pro x64 SP2, логи AVZ пестреют информацией про "неизвестные" системные файлы. Через "Пополнение базы чистых объектов" их выслать невозможно - AVZ не может добавить их в карантин по причине ошибки прямого чтения. Но вручную они копируются отлично. Поэтому я решил скопировать все системные файлы, неизвестные AVZ, и выслать их Вам для добавления в "Доверенные", чтобы впредь в логах не было столько лишней информации. Скачать эти файлы можно отсюда (http://fileshare.in.ua/2813781) (19 Мб, максимальное сжатие ZIP. Да, файлообменник, но никаких поинтов и денег за скачивание я не получаю, просто хочется чтобы подлинные системные файлы не записывались в лог как "неизвестные". ИМХО чем меньше в логе лишней информации, тем легче хелперам найти действительно вредоносные объекты). Благодарю за внимание.

drongo
25.09.2009, 16:59
4r0, Не думаю, что Олег Зайцев этим будет заниматься.
В зипе нет файлов информации ini, кибер сочтёт за мусор и не будет обращать внимания.

с 64битной системой действеительно проблематично...Надеюсь все антивирусы и файрволы отключили ? Программы защиты могут не давать копировать...
можно в безопасном режиме попробовать скопировать файлы с помощью авз.

4r0
25.09.2009, 17:13
drongo, а я киберу зип и не отправлял, знаю что это бесполезно. Антивирусы и фаерволлы я вообще удалил и их следы почистил, чтобы не мешали, но AVZ ни одного системного файла так и не смог скопировать, пишет "Попытка прямого чтения - ошибка". В логах с 64-битной XP полно лишнего, вот я и подумал, что мой архив с системными файлами может помочь в формировании доверенных файлов. Ну, нет так нет.

P.S. А почему при попытке поиска перехватчиков KernelMode AVZ пишет, что файл \WINDOWS\system32\ntoskrnl.exe не найден, хотя он на месте и никуда не исчезал?

AndreyKa
25.09.2009, 17:48
4r0, расслабьтесь. AVZ 32-х битная программа и Windows x64 запускает её в отдельной от ОС среде, так называемой WOW64 http://ru.wikipedia.org/wiki/WOW64 и её попытки провести диагностику системы бесполезны, пока не будет выпущена 64-битная AVZ или хотя бы 64-битные драйверы для неё.

AndreyKa
25.09.2009, 19:39
Обновление идет в зоне 23-24 часов один раз в сутки ... может быть, оно попало в следующий день ввиду перегрузки сайта
Да, бывает. Вот сейчас, например:


Загружена база: сигнатуры - 242503, нейропрофили - 2, микропрограммы лечения - 56, база от 24.09.2009 00:39

Прошло 43 часа, а обновления баз нет.

Jagfrisker
25.09.2009, 23:20
не знаю, поднимался ли этот вопрос, но в AVZ не хватает некоторых кнопок, например, когда большой список, не помешали бы кнопки "Выбрать всё" и "Снять всё".
использую его каждый день и этих кнопок очень не хватает.

ещё непонятно, почему бы не сделать, чтобы авз видел скрытые файлы, по умолчанию, как Total например. Выберешь отложенное удаление файла, без включённого гварда(не всегда бывает возможность его включить), а вирус уже отключил скрытые в системе. Можно было бы сделать, чтобы поиск в реестре, по имени файла и отложенное удаление видели бы скрытые и системные файлы сразу?

AndreyKa
26.09.2009, 20:13
Нашел баг в обработчике скриптов.
Если в скрипте сработала команда break то до перезапуска AVZ в скриптах будет выполняться только одна команда.
Пример:
Запустив

begin
AddToLog('1');
AddToLog('2');
end.
получим:


1
2
но если запустить


begin
break;
end.то повторный запуск первого скрипта даст:

1

Зайцев Олег
26.09.2009, 20:34
Нашел баг в обработчике скриптов.
Если в скрипте сработала команда break то до перезапуска AVZ в скриптах будет выполняться только одна команда.
Пример:
Запустив

begin
AddToLog('1');
AddToLog('2');
end.
получим:


1
2
но если запустить


begin
break;
end.то повторный запуск первого скрипта даст:

1
Команда break официально не поддерживается :)

AndreyKa
26.09.2009, 20:43
Команда break официально не поддерживается Тогда, каким образом можно прервать выполнение процедуры?

Зайцев Олег
26.09.2009, 20:49
Тогда, каким образом можно прервать выполнение процедуры?
Для прерывания работы скрипта есть команда exit. Ее вызов в процедуре прекратит ее выполнение и вернет управление вызвавшему процедуру коду, вызов exit в главном теле скрипта приведет к прерыванию его работы. Команда Break прерывает выполнение цикла любого типа ... и ее можно применять только в цикле, использование вне цикла приведет к указанному выше эффекту. Т.е. правильно:


begin
AddToLog('>>1');
exit;
AddToLog('>>2');
end.

и


begin
AddToLog('>>1');
while true do begin
break;
end;
AddToLog('>>2');
end.

NickM
02.10.2009, 14:43
Здравствуйте. Вчера лечил ПК зараженный новой версией AVPro2010, на Висте(СП1,СП2) не сработал запуск AVZ с ключем AG=Y, в то время как из самой программы AVZGuard включается.

Ingener
02.10.2009, 14:56
Вчера обновил базы и заметил следующее, появился какой-то новый пункт в чистке системы - подскажите для чего он нужен (может это просто баг):
http://s46.radikal.ru/i113/0910/13/230941b6d94ft.jpg (http://radikal.ru/F/s46.radikal.ru/i113/0910/13/230941b6d94f.jpg.html)

Зайцев Олег
02.10.2009, 21:48
Вчера обновил базы и заметил следующее, появился какой-то новый пункт в чистке системы - подскажите для чего он нужен (может это просто баг):
http://s46.radikal.ru/i113/0910/13/230941b6d94ft.jpg (http://radikal.ru/F/s46.radikal.ru/i113/0910/13/230941b6d94f.jpg.html)
А кто его знает ... это баг в базе перевода, я сегодня обновлю ее - видимо, какая-то новая чистка, для которой нет сообщений в локалях

Oyster
03.10.2009, 04:49
А кто его знает ... это баг в базе перевода, я сегодня обновлю ее - видимо, какая-то новая чистка, для которой нет сообщений в локалях
- А давай прицепим мой мотоцикл к твоей "Волге"! У тебя трос в багажнике есть?
- А кто его знает, что там есть...
(c) х/ф "Берегись автомобиля" :D

Nick222
03.10.2009, 09:40
Прошу прощения, но размер файла и контрольная сумма, указанные на странице скачивания для плагина для Бат, не соответствуют реальным данным выложенного для скачивания файла плагина (проверил три раза).

light59
03.10.2009, 12:17
MD5 архива совпадает. А у avz_thebat.bav нет. Там на несколько байт размер отличается. Видать информация не обновлена.

Br0m
03.10.2009, 12:31
так же ?1740? ?1742?

tar
04.10.2009, 12:36
а где можно задвать вопросы по скриптам? если здесь, то вопрос:
думал, что аутпоста и AVZ хватит чтобы не париться по вирусам на нетбуке, но подхватил Kido - даже не заметил (программы не качал, законы элементарной безопасности знаю). Этот вирус обнаруживает любой антивирус , с начала года, но AVZ даже ничего подозрительно не обнаружил. Хотя, благодаря AVZ от него и избавился (отложеное удаление) - drweb нашел, но удалить не смог.
Теперь к скрипту: нужно чтобы AVZ раз в день проверял такую-то таблицу ревизором, если найдены расхождения, то информировал на экране, если все нормально, то без диалогов.

thyrex
04.10.2009, 20:06
подхватил Kido

но AVZ даже ничего подозрительно не обнаружилНе совсем верно. Уведомление о скрытых процессах Кидо есть в логах, если dll-ка находится в system32

PavelA
04.10.2009, 20:49
Теперь к скрипту: нужно чтобы AVZ раз в день проверял такую-то таблицу ревизором, если найдены расхождения, то информировал на экране, если все нормально, то без диалогов. AVZ - утилита для проверки
и возможного лечения.
То, что Вы просите выполняет а/вирус.

tar
04.10.2009, 21:27
антивирус? ADinf чтоли?
неужели AVZ с такой продвиностью в скриптах не работает со своими ревизорными таблицами?

gjf
04.10.2009, 21:41
ADInf устарел безнадёжно и давно.
Вы видели когда-нибудь антивирус со скриптовым языком? Правильно, такого не существует. Потому и речь о том, что AVZ - не антивирус. И требовать от него функционала, характерного для антивирусов, бессмысленно. Пусть лучше делает то, для чего предназначен, чем разрастается лишним.

tar
04.10.2009, 21:57
по-моему, было бы неплохо, если бы AVZ раз в день проверял папку Windows своим ревизором. Скрипты AVZ вообще не поддерживают СВОЙ ревизор - я верно понял?
Спасибо за ответы.

gjf
04.10.2009, 22:20
Погодите: если я правильно Вас понял, Вы держите AVZ постоянно загруженным, считая, что он обеспечит Вам защиту от вирусов?

kps
04.10.2009, 22:39
Погодите: если я правильно Вас понял, Вы держите AVZ постоянно загруженным, считая, что он обеспечит Вам защиту от вирусов?

Речь о том, можно ли через скрипты управлять ревизором дисков (его можно найти в меню Файл AVZ), который сравнивает изменения на диске, используя базу данных.

Зайцев Олег
04.10.2009, 22:55
Речь о том, можно ли через скрипты управлять ревизором дисков (его можно найти в меню Файл AVZ), который сравнивает изменения на диске, используя базу данных.
Если речь о нем - то этот ревизор нужен для сравнения "из меню". Если речь идет о сравнении из скрипта, то там функционал в изобилии - считалка MD5 и поддержка просейших "баз данных" из тектового файла в частности, далее все тривиально

Добавлено через 1 минуту


антивирус? ADinf чтоли?
неужели AVZ с такой продвиностью в скриптах не работает со своими ревизорными таблицами?
Со своими - не реботает, так как это негибко. А функционал ревизора любой сложности достигается скриптом - сканирование диска есть, расчет MD5 - есть, хранение найденного в проснейшей БД и поиск - есть. Далее можно конструировать все что угодно с любой логикой

tar
04.10.2009, 23:40
спасибо всем. вопрос закрыт. только жаль что нет примера этого скрипта. придется включать мозг :)

Зайцев Олег
04.10.2009, 23:43
спасибо всем. вопрос закрыт. только жаль что нет примера этого скрипта. придется включать мозг :)
пример есть в справке и вот тут -
http://virusinfo.info/showthread.php?t=35034
http://www.anti-malware.ru/forum/index.php?s=&showtopic=9392&view=findpost&p=80397

Димарик
05.10.2009, 20:17
Подскажите AVZ так и не работает на x64 системах?

vistaorxpmoy
08.10.2009, 12:34
Новый Ав мелкософта вот так детектирует AVZGuard

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=VirTool%3aWinNT%2fRootkitdrv.GZ&threatid=2147628490

VirTool:WinNT/RootkitDrv.GZ
Category: Tool

Description: This program is used to create viruses, worms or other malware.

Recommendation: Remove this software immediately.

Microsoft Security Essentials detected programs that may compromise your privacy or damage your computer. You can still access the files that these programs use without removing them (not recommended). To access these files, select the 'Allow' action and click 'Apply actions'. If this option is not available, log on as administrator or ask the local administrator for help.

Items:
file:C:\Windows\System32\drivers\utyyndu5.sys
regkey:HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\utyy ndu5

QUARQ
11.10.2009, 03:24
может ли данная утилита работать с удоленным реестром ? и как этого добиться от нее...
суть проблемы: вирус блокирует сеф мод ,редактор реестра учетную запиь и тд..
из под втрой системы можно поудалять вирусы но реестр почистиь таким образом не получается и востоновить работоспособность тоже приходится разблокировать сейф мод через ерд командер перезагружаться в сейф моде и лечить систему дальше ...
было бы очень удобно загружаешся в барт пе включаешь в AVZ пунк меню работа с удоленным реестром .... а дальше как на живой системе

с уважением пользователь AVZ

Oyster
11.10.2009, 05:51
QUARQ, почитайте AVZ on LiveCD (http://virusinfo.info/showthread.php?t=33884), особенно про редиректор RunScanner

gjf
11.10.2009, 13:31
QUARQ, не думаю, что так всё запущено. Если можно загрузиться нормально - почему бы там не собрать логи? А потом почистить всё - это уже относительно просто.
Вообще, если такая проблема - Вам в раздел Помогите (http://virusinfo.info/forumdisplay.php?f=46).

QUARQ
12.10.2009, 01:41
свем спс за советы! но из того что прочел ..не чуть не легче описаной мною схемы лечения : много танцев с бубном, а результат больше утешительный, чем обнадеживающий.

Oyster
12.10.2009, 02:30
QUARQ Можно не заморачиваться с настройкой плагина. Просто грузитесь во вторую операционку или BartPE, а из неё уже запускайте RunScanner с параметрами - где лежит "больная" винда, где профиль "больного" юзера и где, собственно, лежит AVZ.

QUARQ
13.10.2009, 21:54
Oyster, ага ! это уже теплее огромное СПС

QUARQ
14.10.2009, 15:36
нашел вот такую сборку RusLive Full в оболочку встроен RunScanner
правой кнопкой по AVZ выбрать "run with remote registry"
работает не всё, но уже можно нармально щемить гадов!
попробовал запустить drweb по тойже схеме через некоторое время вылетает через неопределенное время "по английски" всем еще раз огромное спс за нааводки :)

NickM
15.10.2009, 08:54
Пожелание: неплохо было бы обрабатывать нажатие Enter как "Выполнить/Пуск", в строке поиска "Сервис--Поиск данных в реестре", удобно и быстро.

icotonev
15.10.2009, 19:06
Хотите знать мнение АВЗ в Болгарии..Читайте здесь:

http://www.kaldata.com/forums/index.php?showtopic=92291&st=0

Для этого я являюсь студентом..чтобы доказать, что AVZ является большая программа!

Ingener
17.10.2009, 10:36
У меня возник такой вопрос - как в AVZ организовать перебор разделов реестра по заданной маске и выполнение определённых действий при удовлетворение заданных условий.
Например мы имеем:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\B ITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00, 52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w uauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00, 52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\B ITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00, 52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\w uauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00, 52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\B ITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00, 52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\w uauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00, 52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\B ITS]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00, 52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\w uauserv]
"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00, 52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00
Где: hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,5 2,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d ,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00 ,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73 ,00,00,00 = %fystemRoot%\System32\svchost.exe -k netsvcs

Как организовать перебор разделов

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet***
***
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet999
И при наличие заданного раздела выполнение следующих действий:

RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet***\Services\BITS');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet***\Services\wuauserv');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet***\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet***\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
Т.е. можно ли как-нибудь автоматизировать данные действия.

Данная фича может быть полезной например для удаления ключей вида:

7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "aawuct"
>>> Подозрение на маскировку ключа реестра службы\драйвера "eihtq"
>>> Подозрение на маскировку ключа реестра службы\драйвера "IasSvc"
>>> Подозрение на маскировку ключа реестра службы\драйвера "igwsoif"