Просмотр полной версии : AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке
Зайцев Олег
05.05.2006, 15:25
Вышла новая версия AVZ - 4.16 + AVZGuard ( http://z-oleg.com/secur/avz/download.php ).
Список доработок и модификаций:
[++] Доработан менеджер автозапуска - добавлена масса ключей, применяемых современными троянами
[++] Менеджер протоколов и обработчиков. Подключен к исследованию системы и автокарантину.
[++] Функция "Стандартные скрипты". Это диалоговое окно, позволяющее выполнять стандартные операции при помощи AVZ.
Данный режим пришел на смену скриптам, размещенным в папке SCRIPT. В раздел стандартных внесены скрипты, применяемые в разделе "Помогите" конференции VirusInfo, скрипт для автообновления различными методами, запуска антируткита
[+] Доработан avz.sys - введена защита от атаки на драйвер посылкой ему IRP пакетов сторонними приложениями
[+] Доработан AVZ Guard - введено несколько новых контуров защиты процесса AVZ от типовых методик закрытия процесса, применяемого распространенными троянскими программами
[+] Параметр MiniLog=[Y|N], переключающий режим протоколирования. Если MiniLog=Y, то в протокол выводятся только значимые сообщения. По умолчанию MiniLog=N и выводится вся информация. Ключ полезен сисадминам, применяющим AVZ автоматическом режиме
[+] Во все HTML отчеты введена информация о файле (ссылка и всплывающее окно). В случае обнаружения в имени файла национальных символов в информации о файле выводится сообщение
[+] Новая функция скриптового движка - ClearQuarantine (очистка карантина)
[+] В диалоге "О программе" выводится информация о базах - дата сборки для каждого из файлов
[+] В апдейтере после анализа (стадия 2) выводится информация о том, какой объем информации требуется загрузить
[+] Проверка архивов WinRar 3.60
База: от 5.05.2006 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 49268 подписей безопасных файлов
По многочисленным просьбам предусмотрена опция загрузки баз одним архивом в случае проблем с апдейтером - ссылка есть на странице загрузки.
На сайте обновлена документация по AVZ, в самом AVZ обновленная справка.
PS: В последние пару месяцев у меня не было времени на выпуск публичных версий AVZ, теперь эти версии будут выходить гораздо чаще ... в следующей версии в частности будет новый антикейлоггер, в этой версии он заблокирован ввиду "сыроватости"
anton_dr
05.05.2006, 16:15
Кстати, ведь не все знают, где можно скачать сие чудо :) (в хорошем смысле этого слова).
А скачать его можно на сайте Олега http://z-oleg.com/secur/avz/download.php
anton_dr
05.05.2006, 16:17
Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.
AndreyKa
05.05.2006, 16:45
Обновил базы в AVZ 4.15 через встроенный апдейтер. Как я понимаю, они уже от 4.16 и не полностью совместимы с 4.15:
---
7. Эвристичеcкая проверка системы
Ошибка микропрограммы: Undeclared identifier: 'RegKeyIntParamRead'
Ошибка микропрограммы 350
---
Зайцев Олег
05.05.2006, 17:24
Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.
ссылку я забыл прикрутить - исправлено. Да, на сайте DDoS, страшнее самого крутого бот-нета :) Но это временно, да и у Агавы каналы хорошие ...
Зайцев Олег
05.05.2006, 17:25
Обновил базы в AVZ 4.15 через встроенный апдейтер. Как я понимаю, они уже от 4.16 и не полностью совместимы с 4.15:
---
7. Эвристичеcкая проверка системы
Ошибка микропрограммы: Undeclared identifier: 'RegKeyIntParamRead'
Ошибка микропрограммы 350
---
Да, есть небольшие несовместимости - базы 4.16 заточены под некоторые новые фичи скриптового движка, но общая совместимость есть. Тем не менее я включил блокиратор обновлений для версий < 4.16
Нет, 4.16 проблемы с GameGuard-ом не решили. Так же не открыватеся менеджер процессов, так же отваливается антируткит в access violation. Т.е. если "зверь" будет использовать те же механизмы, что и GameGuard от линейки - AVZ бессилен :( ....
Программа очень хорошая. Спасибо. Но вот я сталкнулся с проблеммой обновления, что старая и уже норвая версия. Повторюсь именно с обновлениями. У меня Интернет через прокси-сервер. В настройках обновления задаю параметры моего прокси, как написано в примере, программа выдаёт такую ошибку "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip - файл повреждён". Пробовал все варианты что есть обновлении, результат нулевой. все остальные программы выходят нормально.
anton_dr
06.05.2006, 07:38
2 Sel
Проблемы с обновлением через прокси есть. У меня тоже. Олег начиная с версии 4.16 выкладывает на сайте обновления баз в отдельном архиве. их нужно переписать поверх старых с заменой http://z-oleg.com/secur/avz_up/avzbase.zip
Спасибо, всё понял. Честно не обратил внимание на отдельно обновляемые базы. Сейчас так делать буду.
Зайцев Олег
06.05.2006, 08:41
Нет, 4.16 проблемы с GameGuard-ом не решили. Так же не открыватеся менеджер процессов, так же отваливается антируткит в access violation. Т.е. если "зверь" будет использовать те же механизмы, что и GameGuard от линейки - AVZ бессилен :( ....
Это очень легко исправить - где водится эта программа ? (желательно точный URL)
например тут (http://www.warsmith.ru/download.php) (это официальный клиент для L2 C4) правда размер 2 гига.... :embarasse
Зайцев Олег
в следующей версии в частности будет новый антикейлоггер, в этой версии он заблокирован ввиду "сыроватости"
Перевод уже вычеркнут из списка приоритетов?
Сделал пробную проверку AVZ 4.16.
Вот результаты:
3. Сканирование дисков
C:\Program Files\Programming\InstallShield Professional6.2\Examples\Example Visual Basic\Redist\Program Files\DEMOX.exe >>> подозрение на Trojan.Win32.Alfool ( 0042FD7A 002C0845 00098B4E 00059861 28672)
Шло с InstallShield, ''ругался'' и раньше.
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll>>> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши
Уже посылал тебе этот плагин (DragnDrop.dll)...
C:\Program Files\Tools\KasperskyInternetSecurity6.0\adialhk.d ll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\KasperskyInternetSecurity6.0\adialhk.d ll>>> Нейросеть: файл с вероятностью 0.93% похож на типовой перехватчик событий клавиатуры/мыши
Как всегда, недоразумения с коллегами... :)
Но вот Kaspersky нашел http://img54.imageshack.us/img54/1994/kasp5rf.jpg
AVZ 4.16 его не ''заметил''...
А в общем показалось, что AVZ 4.16 стал шустрее...
Выслал последние полученные с почтой вирусы (WORM/Scano.Q.1, WORM/MyDoom.L в терминологии Avira Antivir).
У меня вопрос. AVZ "с подозрением относится" к файлу NetView.exe. И понятно почему, нельзя ли сделать так, чтобы можно было самостоятельно добавлять файлы как безопасные, на свой страх и риск, естественно.
Зайцев Олег
06.05.2006, 20:59
Выслал последние полученные с почтой вирусы (WORM/Scano.Q.1, WORM/MyDoom.L в терминологии Avira Antivir).
У меня вопрос. AVZ "с подозрением относится" к файлу NetView.exe. И понятно почему, нельзя ли сделать так, чтобы можно было самостоятельно добавлять файлы как безопасные, на свой страх и риск, естественно.
Я думаю о возможности самостоятельного добавления файлов в базу безопасных, но это палка о двух концах - с одной стороны удобно, с другой - каждому придется делать это индивидуально. С третьей - это исказит работу AVZ для раздела "Помогите". Я думаю несколько иначе - сделать возможность вести базу "Известных пользователю программ". Тогда AVZ ругаться будет, но с припиской, что это программа безопасна я точки зрения пользователя
PS: Я тоже могу ошибиться, внося файлы в базу безопасных. Поэтому помимо изучения вручную коллекция чистых объектов постоянно проверяется тремя-четырьма антивирусами в самом параноидальном режиме - в качестве меры самоконтроля.
Синауридзе Александр
06.05.2006, 23:38
Здравствуйте Олег!
Сегодня прогнал свой комп. новой версией AVZ и вот результат:
Протокол антивирусной утилиты AVZ версии 4.16
Сканирование запущено в 07.05.2006 0:05:41
Загружена база: 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 05.05.2006 11:59
Загружены микропрограммы эвристики: 359
Загружены цифровые подписи системных файлов: 49268
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
1. Поиск RootKit и программ, перехватывающих функции API
Ошибка в работе антируткита [Access violation at address 00572064 in module 'avz.exe'. Read of address 00000000], шаг [3]
2. Проверка памяти
Количество найденных процессов: 0
Количество загруженных модулей: 0
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\services.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\services.dll>>> Нейросеть: файл с вероятностью 12.17% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
В ходе проверки возникла ошибка. Проверка не производилась
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 88812, извлечено из архивов: 48121, найдено вредоносных программ 0
Сканирование завершено в 07.05.2006 0:25:45
Сканирование длилось 00:20:04
Что это может значить?:?
Два дня назад с версией 4.15 такого не наблюдалось.:P
C:\WINDOWS\services.dll
Похоже на вирус, вышлите как написано в правилах
Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.у меня наоборот быстро:D
у меня наоборот быстро:D
Олег уже написал, почему было медленно. http://virusinfo.info/showpost.php?p=72560&postcount=5
И совершенно понятно, почему у тебя сейчас быстро.
C:\WINDOWS\services.dll
Похоже на вирус
Sanja, совершенно верно.
Синауридзе Александр, смотри заключение Олега в предыдущей ветке...
Зайцев Олег
07.05.2006, 08:52
C:\WINDOWS\services.dll
Похоже на вирус, вышлите как написано в правилах
Ну вот, файл пришел. Это троян, точнее - Trojan-Downloader.Win32.Agent.zf, сжат UPX, внедряется в другие процессы при помощи ловушек, внутри руткит обработчик. Типовые проявления - создает мьютекс "Sys32SFB" и троянский поток в пораженном приложении. Перехватывает ZwQueryDirectoryFile и ZwQuerySystemInformation модификацией их машинного кода (точнее, меняются первые 6 байт). вообще-то в логе AVZ должны быть данные о перехвате этих двух функций ... т.к. перехват идет классическим методом. Вмето этого в логе ошибка, сейчас помотрю, в чем там дело ...
Синауридзе Александр
07.05.2006, 15:38
Ну вот, файл пришел. Это троян, точнее - Trojan-Downloader.Win32.Agent.zf, сжат UPX, внедряется в другие процессы при помощи ловушек, внутри руткит обработчик. Типовые проявления - создает мьютекс "Sys32SFB" и троянский поток в пораженном приложении. Перехватывает ZwQueryDirectoryFile и ZwQuerySystemInformation модификацией их машинного кода (точнее, меняются первые 6 байт). вообще-то в логе AVZ должны быть данные о перехвате этих двух функций ... т.к. перехват идет классическим методом. Вмето этого в логе ошибка, сейчас помотрю, в чем там дело ...
А обновлений пока нет.:? Олег а как насчет второго файла?
Зайцев Олег
07.05.2006, 19:56
А обновлений пока нет.:? Олег а как насчет второго файла?
Обновления будут после праздников... этот руткит помог, т.к. с его помощью изловлен баг (в рутките есть ошибка, которая повлияла на антируткит AVZ).
По поводу файла best.exe:
Мой приговор - троян класса Startpage, сжат FSG, открывает сайт www.1987324.com, создает в Избранном посторонний ярлык, меняет стартовую
страницу на www.1987324.com?299 и записывает этот сайт в надежные узлы. Вердикт: файл этот нужно прибить ...
Трафик моего сайта сейчас 60-80 ГБ в месяц, а если еще и английский язык - то будет рукотворный DDoS, даже сейчас апдейтер AVZ страшнее бот-нета :) лол, мутируй апдейтер в P2P-приложение :L
Проверил работу новой версии AVZ на хорошо защищенной, беспроблемной машине на работе.
Основные ''проблемы'' с софтом для программирования и с ''коллегами'':
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Rational\ClearCase\bin\ccasenp.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Rational\ClearCase\bin\ccasenp.dll>>> Нейросеть: файл с вероятностью 0.85% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Rational\ClearCase\bin\LIBATRIANT.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Rational\ClearCase\bin\LIBATRIANT.dll>>> Нейросеть: файл с вероятностью 0.55% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Network Associates\VirusScan\scriptproxy.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Network Associates\VirusScan\scriptproxy.dll>>> Нейросеть: файл с вероятностью 0.73% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Network Associates\VirusScan\mytilus.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Network Associates\VirusScan\mytilus.dll>>> Нейросеть: файл с вероятностью 0.77% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Network Associates\VirusScan\Res09\McShield.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Network Associates\VirusScan\Res09\McShield.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
А также жалобы на файлы МSDN...
И здесь ''бдит'':
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
На данном ПК открыто 43 TCP портов и 44 UDP портов
>>> Обратите внимание: Порт 6129 TCP - Dameware Remote Admin (c:\windows\system32\dwrcs.exe)
>> Обратите внимание: Порт 1111 UDP - Backdoor.Daodan, Backdoor.Delf (\??\c:\windows\system32\winlogon.exe)
>> Обратите внимание: Порт 1116 UDP - Backdoor.Lurker (c:\program files\rational\clearcase\bin\view_server.exe)
Мда, детектирование по номерам портов еще хуже, чем по именам файлов =)
AndreyKa
10.05.2006, 09:58
Я думаю о возможности самостоятельного добавления файлов в базу безопасных, но это палка о двух концах - с одной стороны удобно, с другой - каждому придется делать это индивидуально. С третьей - это исказит работу AVZ для раздела "Помогите". Я думаю несколько иначе - сделать возможность вести базу "Известных пользователю программ". Тогда AVZ ругаться будет, но с припиской, что это программа безопасна я точки зрения пользователя
PS: Я тоже могу ошибиться, внося файлы в базу безопасных. Поэтому помимо изучения вручную коллекция чистых объектов постоянно проверяется тремя-четырьма антивирусами в самом параноидальном режиме - в качестве меры самоконтроля.
У меня дежа вю или я что то подобное уже читал? А вот оно :)
http://bugs.drweb.com/bug_view_advanced_page.php?bug_id=0004838
Зайцев Олег
10.05.2006, 16:25
У меня дежа вю или я что то подобное уже читал? А вот оно :)
http://bugs.drweb.com/bug_view_advanced_page.php?bug_id=0004838
А что там пишется - меня он не пускает - пароль хочет ...
Зайцев Олег
10.05.2006, 16:27
Проверил работу новой версии AVZ на хорошо защищенной, беспроблемной машине на работе.
Основные ''проблемы'' с софтом для программирования и с ''коллегами'':
А также жалобы на файлы МSDN...
Это нормально - файлы не попадались в базу безопасных, вот он и шумит - если не трудно, я прошу эти файлы скинуть мне для добавления в базу чистых объектов ...
anton_dr
10.05.2006, 16:33
А что там пишется - меня он не пускает - пароль хочет ...
И меня любопытство сподвигло зарегистрироваться.
Reporter AndreyKa
View Status public
Summary Расширении функциональности сканера DrWeb
Description При проверке автоматически загружаемых программ выводить список не известных (следовательно, подозрительных) программ и модулей. Количество правомерно загружаемых программ измеряется сотнями или даже тысячами, но возможность отсеивать «зерна от плевел» на мой взгляд, стала необходимой.
И, соответственно, должна быть возможность отправить подозрительные программы в карантин.
Не будут они делать этого, так же как ЛК не хотят.
AndreyKa
10.05.2006, 16:46
А что там пишется - меня он не пускает - пароль хочет ...
Там вот такие слова есть:
---
нужна возможность для пользователя, добавлять в отдельный список (через GUI) программы которым он доверяет (чтоб не маячили каждый раз).
---
А припомнил я это (написано было в январе 2005г.) по тому, что я был бы рад увидеть реализацию моих предложений в AVZ, раз уж в Dr.Web их отвергли.
Это нормально - файлы не попадались в базу безопасных, вот он и шумит - если не трудно, я прошу эти файлы скинуть мне для добавления в базу чистых объектов ...
Послал пакет.
Добавляй.
и все же хочется видеть работающее обновление через прокси.
Зайцев Олег
11.05.2006, 12:52
и все же хочется видеть работающее обновление через прокси.
Тогда нужны учтонения - у меня Инет через прокси, обновление идет без проблем.
Представляет инстерес:
1. Какой браузер применяется (в частности, настроен ли IE на работу через прокси)
2. Требует ли прокси авторизацию ?
3. Какой тип и версия прокси ?
anton_dr
11.05.2006, 13:15
Тогда нужны учтонения
Представляет интерес:
От меня.
1. Макстон, в ИЕ настройки прокси есть.
2. Да, NTLM
3. ISA 2000
Еще уточнение - до версии 4.15 обновление работало.
1. Mozilla Firefox , в ИЕ настройки прокси есть.
2. Да, HTTP
3 не знаю
1. FF, Opera , в ИЕ настройки прокси есть.
2. Да, NTLM
3. ISA, версию не знаю
Sergio-user
14.05.2006, 03:17
Было бы очень приятно, если б наконец
появилась опция "стража" под win9x.
И очень жду опции сканирования реестра... -
если ворм(ы) активно засоряет реестр - за этим
тоже надо следить. Да и выслеживать по изменениям
реестра червей легче (автозапуск). ИМХО.
Когда это, (а также версии под линь) будет реализовано,-
эта программа будет полноценным антивирусным софтом!
Интересный факт.
При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается. Проверенно - несколько раз. Далее - сканирование дисков, и "состема восстановлена после серьёзного збоя...". Что-бы это значило?
Фаер и т.д. были заблаговременно отключены.
Cool Cat
15.05.2006, 23:27
RootKit
Может быть ... есть проблема с какимто методом детекта RootKit на
твоей системе .... видел подобный глюк
ведь методы разные, некоторые как в программе Process Hunter
могут привести к перезагрузке...
Если в системе стоит функция немедленно перезагрузить компьютер
при критической ошибке (что спасает от зависания),,,
может произойти такая штука!!!
Зайцев Олег
16.05.2006, 08:45
Может быть ... есть проблема с какимто методом детекта RootKit на
твоей системе .... видел подобный глюк
ведь методы разные, некоторые как в программе Process Hunter
могут привести к перезагрузке...
Если в системе стоит функция немедленно перезагрузить компьютер
при критической ошибке (что спасает от зависания),,,
может произойти такая штука!!!
Я вот тоже похожее видел ... причем проявляется не всегда и не на всех программах.
aintrust
16.05.2006, 16:53
Интересный факт.
При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается. Проверенно - несколько раз. Далее - сканирование дисков, и "состема восстановлена после серьёзного збоя...". Что-бы это значило?
Фаер и т.д. были заблаговременно отключены.
Тут, по сути, две проблемы:
1) даже если вы отключили фаер и пр. через GUI - это совсем еще не означает, что он реально выгружен/неактивен. Скорее всего, он просто прозрачно пропускает все вызовы. Это особенно актуально для драйверов, которые в большинстве случаев фаеры динамически не выгружают (а в некоторых случаях это просто невозможно!);
2) AVZ выполняет операцию "разблокировки" неатомарно (т.е. не за один раз для всех перехваченных системных вызовов) - это тоже может в некоторых случаях приводить к плачевным результатам.
Это происходит действительно только в последней версии AVZ, уверены в этом? Можете прислать мини-дамп, если есть? И еще - режим AVZGuard у вас включается/выключается нормально?
Cool Cat
16.05.2006, 21:00
Тут, по сути, две проблемы:
1) даже если вы отключили фаер и пр. через GUI - это совсем еще не означает, что он реально выгружен/неактивен. Скорее всего, он просто прозрачно пропускает все вызовы. Это особенно актуально для драйверов, которые в большинстве случаев фаеры динамически не выгружают (а в некоторых случаях это просто невозможно!);
Можно проверить активна ли служба данного антивируса, фаервола...
в "Cлужбах" (если надо атключить!?)
ПУТЬ
Пуск > Настройки > Панель управления > Администрирование > Службы
Можно проверить (если получется) отключить драйвер!
ПУТЬ
Мой компютер > Сведения о системе > Диспетчер устройств > Вид > Показать скрытые устройства
в открывшемся дереве > Ветка:Драйвера устройств не "Плуг ин Плай"
....Там они обычно и лежат
отключить драва, перезагрузить, и ещё раз проверить AVZ...
(инагда даже таким макаром можно установить 2 и более антивируса)
Это происходит действительно только в последней версии AVZ, уверены в этом?
Я видел подобное ещё до введения AVZGuard
И еще - режим AVZGuard у вас включается/выключается нормально?
Включяется да,,, а после окончяния проверки HDD, помогает только перезагрузка :)
aintrust
17.05.2006, 12:13
to Cool Cat
1. Почему бы вам не зарегистрироваться на этом форуме, если вы заинтересованы в развитии AVZ?
2. Попробуйте связаться непосредственно с автором AVZ и изложить более-менее подробно весь комплекс проблем, с которым вы сталкиваетесь при работе с AVZ - я думаю, что это будет и вам, и AVZ только на пользу! :)
Cool Cat
17.05.2006, 14:04
aintrust
Вроде сработало.... :)
aintrust
17.05.2006, 14:41
Ага... сработало! Добро пожаловать на форум! ;)
Ну что же, 1-й шаг сделан - теперь можно и 2-й! :P
На домашнем компе такого не наблюдалось.
А в организации попробовал на другой машине.. Аналогичная ситуация.
В AVZ проставил только "Блоктровать работу RootKit Kernel-Mode", нажал "Пуск", и ... "система восстановлена после...".
На всех машинах стоит ХП2 с фаером Sygate, без антивируса.
Разница только в доступе к интернету: дозвон и АДСЛ.
aintrust
17.05.2006, 20:38
to Pick
Ответьте, если нетрудно, на вопросы в посте #44, а также:
- о каком именно Sygate вы говорите, о Sygate Personal Firewall Pro? Какая версия продукта у вас сейчас установлена?
- где у вас "дозвон" - дома или в офисе?
to Pick
Ответьте, если нетрудно, на вопросы в посте #44, а также:
- о каком именно Sygate вы говорите, о Sygate Personal Firewall Pro? Какая версия продукта у вас сейчас установлена?
- где у вас "дозвон" - дома или в офисе?
Sygate Personal Firewall Pro 5,6,2818 на всех машинах.
"дозвон" - дома.
Тут, по сути, две проблемы:
1) даже если вы отключили фаер и пр. через GUI - это совсем еще не означает, что он реально выгружен/неактивен. Скорее всего, он просто прозрачно пропускает все вызовы. Это особенно актуально для драйверов, которые в большинстве случаев фаеры динамически не выгружают (а в некоторых случаях это просто невозможно!);
2) AVZ выполняет операцию "разблокировки" неатомарно (т.е. не за один раз для всех перехваченных системных вызовов) - это тоже может в некоторых случаях приводить к плачевным результатам.
Это происходит действительно только в последней версии AVZ, уверены в этом? Можете прислать мини-дамп, если есть? И еще - режим AVZGuard у вас включается/выключается нормально?
Сори. Дома не последняя версия а 4,14..
Надеюсь, пишу в правильную тему..
AVZ 4.16 5.05.2006
При использовании функции "Исследование системы" при наличии галки на "Порты TCP/UDP", постоянно вылетает ошибка
"Access violation at address 004EF42E in module 'avz.exe'. Write of address 00000010." На предыдущей версии была, кстати, тоже.
Зайцев Олег
18.05.2006, 14:11
Sygate Personal Firewall Pro 5,6,2818 на всех машинах.
"дозвон" - дома.
Вроде бы баг поймался, скоро выйдет 4.17, там все должно работать как надо.
aintrust
18.05.2006, 16:40
Sygate Personal Firewall Pro 5,6,2818 на всех машинах.
"дозвон" - дома.
Ага, спасибо - кое-что прояснилось! Пробуйте на версии AVZ 4.17, когда она выйдет...
Здрасьте! При обновлении баз 4.16 пишет программа выдаёт такое сообщение "обновление баз прошло успешно", а при запуске, програма предлагает повторить ситуацию (Внимание !!! База поcледний раз обновлялась 05.05.2006 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)) Подскажите в чём причина?
Здрасьте! При обновлении баз 4.16 программа выдаёт такое сообщение "обновление баз прошло успешно", а при запуске, програма предлагает повторить операцию (Внимание !!! База поcледний раз обновлялась 05.05.2006 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)) Подскажите в чём причина?
AndreyKa
20.05.2006, 18:34
При обновлении баз 4.16 программа выдаёт такое сообщение "обновление баз прошло успешно", а при запуске, програма предлагает повторить операцию (Внимание !!! База поcледний раз обновлялась 05.05.2006...
Пока обновления баз выходят реже, чем задумано Олегом. :(
Олег, может быть подкоректировать это сообщение, а то кажется что, обновление не работает, а не просто базы старые. Например так:
Внимание !!! База AVZ выпущена 05.05.2006...
Спасибо, а то я уже подумал, что проблема в моём компе.
Зайцев Олег
20.05.2006, 23:04
Пока обновления баз выходят реже, чем задумано Олегом. :(
Олег, может быть подкоректировать это сообщение, а то кажется что, обновление не работает, а не просто базы старые. Например так:
Внимание !!! База AVZ выпущена 05.05.2006...
Да, базы еще не обновились ... обновление пройдет в понедельник. Просто в последнее время я достаточно активно модернизирую невидимую для пользователя сторону AVZ - сам вирлаб ... в скором времени базы будут обновляться регулярно, не реже чем раз в неделю.
Serg_svp
22.05.2006, 11:18
Есть еще один баг.
Настройки: проверить типы файлов - все
есть каталог \my\avz
Создаю папку my\avz\avz.vir.Test
кладу туда зараженные файлы -
avz в упор в папке не видит ни одного файла
[ проверка:
c:\avz\avz.vir.test ...
проверено 0 файлов...]
Не знаю, но у меня постоянно это было, пока не выложил
папку в другой внешний каталог.
Никто не сталкивался..?
-----
BR
/Sergey
anton_dr
22.05.2006, 11:48
Кажется, Олег писал, что АВЗ не смотрит папку и подпапки с самим собой.
Зайцев Олег
22.05.2006, 14:05
Кажется, Олег писал, что АВЗ не смотрит папку и подпапки с самим собой.
Вот именно - это специальная фича для того, чтобы AVZ не залечил собственный карантин. Но этот режим является управляемым - он описан в разделе 8.2 справки, ключик ScanAVZFolders
anton_dr
22.05.2006, 14:30
Олег, а не может быть такого, что какой-нить зверь, зная эту фичу, запишется именно в папочку АВЗ? И АВЗ его благополучно пропустит?
Олег, а не может быть такого, что какой-нить зверь, зная эту фичу, запишется именно в папочку АВЗ? И АВЗ его благополучно пропустит? может просто блокировать доступ к своим файлам и все. (или мониторить), а проверять, думаю, все ж нужно. drweb же так делает..? Ещё: в карантине лежит куча файлов за 15.05 - все загр. модули из памяти:
[InfectedFile] Src=C:\Program Files\Java\jre1.6.0\bin\ssv.dll Infected=avz00032.dta Virus=Скопирован автоматически из диспетчера объектов IE QDate=15.05.2006 4:26:54 Size=237568 FileDate=09.02.2006 14:09:04 ...
Src=C:\WINDOWS\SYSTEM\NVDD32.DLL Infected=avz00007.dta Virus=Скопирован автоматически из диспетчера процессов QDate=15.05.2006 4:26:45 хотел взглянуть в лог проверить, но там инфо только за 14.апр.
Зайцев Олег
22.05.2006, 15:48
может просто блокировать доступ к своим файлам и все. (или мониторить), а проверять, думаю, все ж нужно. drweb же так делает..? Ещё: в карантине лежит куча файлов за 15.05 - все загр. модули из памяти: хотел взглянуть в лог проверить, но там инфо только за 14.апр.
Для этого и сделан ключик - можно с его помощью переключить режим. Плюс естественно самоконтроль самого AVZ.EXE... Если в карантине лежат модули, которые судя по сообшеию были в памяти, то это скорее всего результат запуска автоматического карантина.
Зайцев Олег
22.05.2006, 16:13
Вышло очередное обновление баз, доступное через встроенную систему обновления баз AVZ. Обновленная база содержит 23222 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 49284 подписей безопасных файлов.
Как видно по цифров, в базу добавилось около тысячи "зловредов". Базой (ее сборкой, обновлением, раскладкой и т.п.) теперь полностью рулит компьютер, так что с небольшой степенью вероятности возможны глюки. Кроме баз обновился архив, содержащий все базы оптом.
сейчас взял файлик с папки Infected положил его отдельно.
проверил - avz сказал - что чист.(макс. уровень эвристики)
svchost.exe - virus: Win32.Hidrag
может он уже подлеченый? не пойму
Зайцев Олег
22.05.2006, 16:44
сейчас взял файлик с папки Infected положил его отдельно.
проверил - avz сказал - что чист.(макс. уровень эвристики)
может он уже подлеченый? не пойму
Можно скринуть его мне почтой - для изучения. Скорее всего это тело Hidrag - в этом случае размер файла svchost.exe должен быть равен 36352 байта
Можно скринуть его мне почтой - для изучения. Скорее всего это тело Hidrag - в этом случае размер файла svchost.exe должен быть равен 36352 байта а думаю понял, в файле наверное были вырезаны определенные байты. тогда все ясно. ---- вопрос: есть ли в планах сделать обновление базы частями?
Зайцев Олег
23.05.2006, 14:58
а думаю понял, в файле наверное были вырезаны определенные байты. тогда все ясно. ---- вопрос: есть ли в планах сделать обновление базы частями?
Обновление частями это как ? Это уже реализовано в последоних апдейтах, например main.avz побит на два файла, в дальнейшем он бедет биться на куски по 30-50 кб. Аналогично и с остальными файлами
Обновление частями это как ? Это уже реализовано в последоних апдейтах, например main.avz побит на два файла, в дальнейшем он бедет биться на куски по 30-50 кб. Аналогично и с остальными файлами не заметил сразу. Не смотря на обновление те 4 запакованные файла так и небыли включены в базу. .. Олег, они оказались чистыми? ..Странно.
Зайцев Олег
23.05.2006, 15:54
Скорее всего оказались чистыми, но файлы не сразу попадают в базу, а становятся в рчередь. Если у файла есть явные копирайты и можно понять, откуда он такой (и найти дистрибутив ...) - он включается в первую очередь. Если нет - то изучается и рано или поздно будет добавлен. А как архив назывался и от какого он числа ? (сейчас проверю)
Скорее всего оказались чистыми, но файлы не сразу попадают в базу, а становятся в рчередь. Если у файла есть явные копирайты и можно понять, откуда он такой (и найти дистрибутив ...) - он включается в первую очередь. Если нет - то изучается и рано или поздно будет добавлен. А как архив назывался и от какого он числа ? (сейчас проверю)
пер. Viruses(1+1susp).rar от 23 мая .
втор. svchost2006-01-10.7z.arch от 23 мая. но я его тока седня послал.
... Если у файла есть явные копирайты и можно понять, откуда он такой не понял у какого файла, у вируса?
я то думал кейруты или троянцы не имеют копирайтов... они зачем? я бывает проверяю систему на вылазку голой в инет, но такие мне почти не попадались.. 8) наверно это шутка..
Зайцев Олег
23.05.2006, 16:52
не понял у какого файла, у вируса?
я то думал кейруты или троянцы не имеют копирайтов... они зачем? я бывает проверяю систему на вылазку голой в инет, но такие мне почти не попадались.. 8) наверно это шутка..
Нет, не шутка - я думал, речь идет о чистых файлах :) А архивы пришли, я их еще не посмотрел
Зайцев Олег
24.05.2006, 10:33
Вышло очередное обновление баз, доступное через встроенную систему обновления баз AVZ. Обновленная база содержит 23596 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 49360 подписей безопасных файлов.
Программа хорошая, только что-то трояна clientMan не нашла. Хотя тут-же SpyRemover его показал.
Зайцев Олег
24.05.2006, 22:51
Программа хорошая, только что-то трояна clientMan не нашла. Хотя тут-же SpyRemover его показал.
А троян то был ? Может, просто ключ в реестре или что-то вроде этого ... если есть образец - присилайте, внесу в базу.
Подскажите пожалуйста, уже второй раз выходят обновления, но так как через прокси, надеюсь пока, обновиться не возможно захожу на сайт и в обновлении забираю RAR архив затем копирую его в папку Base, но при просмотре в СПРАВКА/О ПРГРАММЕ/БАЗЫ AVZ и при сканировании программа выдаёт содержание старых баз от 05.05 и обновление не регестрирует. Может я что-то делаю не так? Спасибо.
anton_dr
25.05.2006, 11:56
Может я что-то делаю не так? Спасибо.
Именно. Базы там заархивированы. Нужно открыть его открыть архиватором, и распаковать с заменой существующих все файлы в папку AVZ/Base.
Да, именно так и сделал, результат в самой папке соответственно изменился а сама программа эти изменения не видит.
anton_dr
25.05.2006, 13:25
Видит. Если посмотрите внимательно, в меню о программе, когда откроете, сама программа 4,16 версия от 5го. 05. Есть вкладка базы авз - там некоторые файлы действительно от 5.05. Но есть и от 24го. При сканировании выводит, что база от 24го.
anton_dr
К сожалению не могу сделать скриншот списка баз и они не копируются, но проверил несколько раз, нет там баз от 24.05.06 только от 05.05.06 и ещё раньше вот привожу выдержку с программы после сканирования.
"Внимание !!! База поcледний раз обновлялась 05.05.2006 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.16
Сканирование запущено в 25.05.2006 15:31:45
Загружена база: 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 05.05.2006 11:59
Загружены микропрограммы эвристики: 359"
У меня просто вопрос может я скачал не те базы обновления? Если не сложно где взять новые. Спасибо.
anton_dr
25.05.2006, 14:09
Возможно, вам прокси берет их из своего кеша старый avzbase.zip.
Закачал новые базы сюда, пробуйте
www.away.perm.ru/avzbase_new.zip
anton_dr
Скачал Ваш архив, заменил всё ОК. Большое спасибо. Архив я скачивал вот с этой страницы http://z-oleg.com/secur/avz/download.php может я не оттуда качал.
anton_dr
26.05.2006, 07:29
Качали оттуда, просто ваш прокси брал архив из своего кеша. Такое бывает.
Был этот блин ClientMan. Причем, собака, самовозрождающийся. Тормозил загрузку винда, а потом переключал интернет на всякую хрень. Я почему на Ваш сайт и вышел - искал чем его изжить. Советовали даже переустановку. Выход нашел, даже сам не понял как - всё перепробовал и чем-то убил гада.
Олег, Haxdoor выжил - http://virusinfo.info/showthread.php?t=5582 , похоже AVZGuard с ним не справляется.
Зайцев Олег
27.05.2006, 10:17
Олег, Haxdoor выжил - http://virusinfo.info/showthread.php?t=5582 , похоже AVZGuard с ним не справляется.
Возможно - в новой версии появилась функция периодического восстановления перехватов по таймеру, это очень агрессивная штука. Противоядие я уже делаю...
в новой версии появилась функция периодического восстановления перехватов по таймеру ??? Олег, без обид. Вы понимаете?
Зайцев Олег
28.05.2006, 20:12
?? Я непонимаю Ж)
Аналогично :)
На самом деле новый haxdoor я изучал (он в моей книге упомянут) и видел интересный эффект - он по таймеру через примерно 1 секунду восстанавливает свои перехваты ( и ануллирует перехваты, поставленные после него). Противодействие есть, но достаточно сложное.
AleksAleks
31.05.2006, 11:13
Олег, у меня AVZ 4.16 (обновления от 30.05.2006) "ругается" на apache для Windows. Может AVZ номер порта не понравился?
>>> Обратите внимание: Порт 1234 TCP - Trojan.Subseven, hotline_or_troj (c:\www\apache\apache.exe)
Зайцев Олег
31.05.2006, 11:35
Олег, у меня AVZ 4.16 (обновления от 30.05.2006) "ругается" на apache для Windows. Может AVZ номер порта не понравился?
>>> Обратите внимание: Порт 1234 TCP - Trojan.Subseven, hotline_or_troj (c:\www\apache\apache.exe)
Именно так и есть - он же просто проверяет порты, которые редко прослушиваются на среднестатистическом ПК.
Олег, убрал бы ты нафиг этот детект портов. Реально последний раз видел вышеупомянутый сабсевен уже не помню сколько лет назад...
Cool Cat
07.06.2006, 00:47
При включеном AVZGuard происходит ошибка,,,,
(где то уже постили на форуме про это)
Ошибка загрузки драйвера - проверка прервана
Лог (Без AVZGuard,,,,, и с AVZGuard)
aintrust
07.06.2006, 08:36
При включеном AVZGuard происходит ошибка,,,,
(где то уже постили на форуме про это)
Ошибка загрузки драйвера - проверка прервана
Лог (Без AVZGuard,,,,, и с AVZGuard)
Если это происходит при следующей последовательности действий:
- вы загружаете AVZ;
- сразу запускаете режим AVZGuard;
- запускаете проверку/лечение (кнопка "Пуск"),
то это известная ошибка AVZ с незапамятных времен. Просто в этом случае режим AVZGuard запрещает менеджеру сервисов загрузить драйвер AVZ, осуществляющий проверку/лечение системных перехватов.
Пока что лечится так:
- вы загружаете AVZ;
- запускаете проверку (кнопка "Пуск");
- и только теперь запускаете режим AVZGuard и последующее лечение.
Если же нет - то для начала пришлите, пожалуйста, лог, запустив AVZ из командной строки с ключом DEBUG=Y.
Cool Cat
07.06.2006, 20:52
Если это происходит при следующей последовательности действий:
- вы загружаете AVZ;
- сразу запускаете режим AVZGuard;
- запускаете проверку/лечение (кнопка "Пуск"),
то это известная ошибка AVZ с незапамятных времен. Просто в этом случае режим AVZGuard запрещает менеджеру сервисов загрузить драйвер AVZ, осуществляющий проверку/лечение системных перехватов.
Да действительно, были такие действия :)
Пока что лечится так:
- вы загружаете AVZ;
- запускаете проверку (кнопка "Пуск");
- и только теперь запускаете режим AVZGuard и последующее лечение.
Ну так впринципе сробатывает, но когда!
приблизительно в момент начяла проверки дисков.
(ИЗ лога)
Проверка памяти завершена
3. Сканирование дисков
У меня______________________________________________ ___
После снятия протекта AVZGuard в 9 из 10 случиях завись ПК
причём при попытки перезагрузить комп, появляется окно с просбой завершения Explorer.EXE (может и чтонибуть другое всплыть) иногда
всё это заканчивается жёсткой перезагрузкой.
Oчередная проверка:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\TEMP\ora2.tmp --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\TEMP\ora2.tmp>>> Нейросеть: файл с вероятностью 1.39% похож на типовой перехватчик событий клавиатуры/мыши
А у Касперского:
Проверенный файл: ora2.tmp - Инфицирован
ora2.tmp - инфицирован Virus.Win32.Parite.b
И совсем неожиданно:
На данном ПК открыто 29 TCP портов и 17 UDP портов
>>> Обратите внимание: Порт 1266 TCP - Global Killer 1.0 (d:\programs\avz\avz.exe)
Запустил Kaspersky Internet Security и он кричит, что Virus.Win32.Parite.b заразил практичиски все ехе-файлы.
Как АVZ этого не заметил?
Настолько хитрый зверь?
Как он так сработал?
Какие дела мог натворить?
Запустил Kaspersky Internet Security и он кричит, что Virus.Win32.Parite.b заразил практичиски все ехе-файлы.
Как АVZ этого не заметил?
Файловые вирусы не являются приоритетным объектом интереса Олега. Их классические антивирусы всегда хорошо ловили. AVZ - инструмент для борьбы с троянами. Пока что.
Файловые вирусы не являются приоритетным объектом интереса Олега. Их классические антивирусы всегда хорошо ловили. AVZ - инструмент для борьбы с троянами. Пока что.
Это я знаю. Но один файл он таки ''подхватил''...
Почему остальных не заметил?
Зайцев Олег
10.06.2006, 00:07
Это я знаю. Но один файл он таки ''подхватил''...
Почему остальных не заметил?
Часто вирусы создают процесс, собственно являющийся его "телом" в чистом виде и заражающий все подряд (наиболее яркий пример - Hidrag). так вот в такой сутуации AVZ может найти и прибить таой процесс и "тело", но не будет лечить зараженные файлы.
Файловые вирусы не являются приоритетным объектом интереса Олега. Их классические антивирусы всегда хорошо ловили. AVZ - инструмент для борьбы с троянами. Пока что.
A вот этого совсем не заметил:
удалено: троянская программа Trojan-Dropper.Win32.VB.mz Файл: c:\program files\common files\misc001\mendoza.exe/data0006
ожидается ли и , если да, то приблизительно, когда English Interface?
К сожалению, компьютер не руссифицирован (дома сумел открыть), а на работе...
Зайцев Олег
13.06.2006, 20:44
ожидается ли и , если да, то приблизительно, когда English Interface?
К сожалению, компьютер не руссифицирован (дома сумел открыть), а на работе...
Ожидается - через неделю-другую, сейчас идут окончательные бетта-тесты приватных англоязычных вариантов.
"
c:\Program Files\Winamp\aVis\aVis.exe Invalid file - not a PKZip file
c:\Program Files\acrPrtEx\MediaBuilder.exe Invalid file - not a PKZip file
c:\Program Files\acrPrtEx\PartitionExpert.exe Invalid file - not a PKZip file
c:\WINDOWS\Temporary Internet Files\Content.IE5\6LQRAHQV\VIA_USB2_V270p1-L[1].zip Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не об..."
Что значит not PKZip file - файл exe
(может быть он и упакован, но причем здесь "pkzip file"?).
Зайцев Олег
14.06.2006, 09:40
"
....
c:\Program Files\acrPrtEx\PartitionExpert.exe Invalid file - not a PKZip file
Что значит not PKZip file - файл exe
(может быть он и упакован, но причем здесь "pkzip file"?).
Все очень просто - это не простые EXE файлы. Если открыть любой из них в HEX редакторе и посмотреть в хвост, то обнаружится, что к EXE приписаны дополнительные данные (стык в стык в хвост). Работе EXE файла это не мешает, т.к. система грузит его согласно данным из заголовка. Анализируя такой EXE AVZ видит аномалию и пытается понять, что это за данные. В данном случае видимо он находит в файле что-то, похожее на ZIP архивы.
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot