PDA

Просмотр полной версии : AVZ 4.16 + AVZGuard - тестирование, обсуждение, предложения по доработке



Зайцев Олег
05.05.2006, 14:25
Вышла новая версия AVZ - 4.16 + AVZGuard ( http://z-oleg.com/secur/avz/download.php ).
Список доработок и модификаций:
[++] Доработан менеджер автозапуска - добавлена масса ключей, применяемых современными троянами
[++] Менеджер протоколов и обработчиков. Подключен к исследованию системы и автокарантину.
[++] Функция "Стандартные скрипты". Это диалоговое окно, позволяющее выполнять стандартные операции при помощи AVZ.
Данный режим пришел на смену скриптам, размещенным в папке SCRIPT. В раздел стандартных внесены скрипты, применяемые в разделе "Помогите" конференции VirusInfo, скрипт для автообновления различными методами, запуска антируткита
[+] Доработан avz.sys - введена защита от атаки на драйвер посылкой ему IRP пакетов сторонними приложениями
[+] Доработан AVZ Guard - введено несколько новых контуров защиты процесса AVZ от типовых методик закрытия процесса, применяемого распространенными троянскими программами
[+] Параметр MiniLog=[Y|N], переключающий режим протоколирования. Если MiniLog=Y, то в протокол выводятся только значимые сообщения. По умолчанию MiniLog=N и выводится вся информация. Ключ полезен сисадминам, применяющим AVZ автоматическом режиме
[+] Во все HTML отчеты введена информация о файле (ссылка и всплывающее окно). В случае обнаружения в имени файла национальных символов в информации о файле выводится сообщение
[+] Новая функция скриптового движка - ClearQuarantine (очистка карантина)
[+] В диалоге "О программе" выводится информация о базах - дата сборки для каждого из файлов
[+] В апдейтере после анализа (стадия 2) выводится информация о том, какой объем информации требуется загрузить
[+] Проверка архивов WinRar 3.60

База: от 5.05.2006 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 49268 подписей безопасных файлов

По многочисленным просьбам предусмотрена опция загрузки баз одним архивом в случае проблем с апдейтером - ссылка есть на странице загрузки.

На сайте обновлена документация по AVZ, в самом AVZ обновленная справка.

PS: В последние пару месяцев у меня не было времени на выпуск публичных версий AVZ, теперь эти версии будут выходить гораздо чаще ... в следующей версии в частности будет новый антикейлоггер, в этой версии он заблокирован ввиду "сыроватости"

anton_dr
05.05.2006, 15:15
Кстати, ведь не все знают, где можно скачать сие чудо :) (в хорошем смысле этого слова).
А скачать его можно на сайте Олега http://z-oleg.com/secur/avz/download.php

anton_dr
05.05.2006, 15:17
Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.

AndreyKa
05.05.2006, 15:45
Обновил базы в AVZ 4.15 через встроенный апдейтер. Как я понимаю, они уже от 4.16 и не полностью совместимы с 4.15:
---
7. Эвристичеcкая проверка системы
Ошибка микропрограммы: Undeclared identifier: 'RegKeyIntParamRead'
Ошибка микропрограммы 350
---

Зайцев Олег
05.05.2006, 16:24
Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.
ссылку я забыл прикрутить - исправлено. Да, на сайте DDoS, страшнее самого крутого бот-нета :) Но это временно, да и у Агавы каналы хорошие ...

Зайцев Олег
05.05.2006, 16:25
Обновил базы в AVZ 4.15 через встроенный апдейтер. Как я понимаю, они уже от 4.16 и не полностью совместимы с 4.15:
---
7. Эвристичеcкая проверка системы
Ошибка микропрограммы: Undeclared identifier: 'RegKeyIntParamRead'
Ошибка микропрограммы 350
---
Да, есть небольшие несовместимости - базы 4.16 заточены под некоторые новые фичи скриптового движка, но общая совместимость есть. Тем не менее я включил блокиратор обновлений для версий < 4.16

Dandy
05.05.2006, 23:42
Нет, 4.16 проблемы с GameGuard-ом не решили. Так же не открыватеся менеджер процессов, так же отваливается антируткит в access violation. Т.е. если "зверь" будет использовать те же механизмы, что и GameGuard от линейки - AVZ бессилен :( ....

Sel
06.05.2006, 05:00
Программа очень хорошая. Спасибо. Но вот я сталкнулся с проблеммой обновления, что старая и уже норвая версия. Повторюсь именно с обновлениями. У меня Интернет через прокси-сервер. В настройках обновления задаю параметры моего прокси, как написано в примере, программа выдаёт такую ошибку "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip - файл повреждён". Пробовал все варианты что есть обновлении, результат нулевой. все остальные программы выходят нормально.

anton_dr
06.05.2006, 06:38
2 Sel
Проблемы с обновлением через прокси есть. У меня тоже. Олег начиная с версии 4.16 выкладывает на сайте обновления баз в отдельном архиве. их нужно переписать поверх старых с заменой http://z-oleg.com/secur/avz_up/avzbase.zip

Sel
06.05.2006, 07:03
Спасибо, всё понял. Честно не обратил внимание на отдельно обновляемые базы. Сейчас так делать буду.

Зайцев Олег
06.05.2006, 07:41
Нет, 4.16 проблемы с GameGuard-ом не решили. Так же не открыватеся менеджер процессов, так же отваливается антируткит в access violation. Т.е. если "зверь" будет использовать те же механизмы, что и GameGuard от линейки - AVZ бессилен :( ....
Это очень легко исправить - где водится эта программа ? (желательно точный URL)

Dandy
06.05.2006, 09:37
например тут (http://www.warsmith.ru/download.php) (это официальный клиент для L2 C4) правда размер 2 гига.... :embarasse

DimaT
06.05.2006, 10:53
Зайцев Олег

в следующей версии в частности будет новый антикейлоггер, в этой версии он заблокирован ввиду "сыроватости"
Перевод уже вычеркнут из списка приоритетов?

DimaT
06.05.2006, 11:25
Сделал пробную проверку AVZ 4.16.
Вот результаты:


3. Сканирование дисков
C:\Program Files\Programming\InstallShield Professional6.2\Examples\Example Visual Basic\Redist\Program Files\DEMOX.exe >>> подозрение на Trojan.Win32.Alfool ( 0042FD7A 002C0845 00098B4E 00059861 28672)

Шло с InstallShield, ''ругался'' и раньше.


5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll>>> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши
Уже посылал тебе этот плагин (DragnDrop.dll)...

C:\Program Files\Tools\KasperskyInternetSecurity6.0\adialhk.d ll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\KasperskyInternetSecurity6.0\adialhk.d ll>>> Нейросеть: файл с вероятностью 0.93% похож на типовой перехватчик событий клавиатуры/мыши
Как всегда, недоразумения с коллегами... :)


Но вот Kaspersky нашел http://img54.imageshack.us/img54/1994/kasp5rf.jpg

AVZ 4.16 его не ''заметил''...

А в общем показалось, что AVZ 4.16 стал шустрее...

Erick
06.05.2006, 14:24
Выслал последние полученные с почтой вирусы (WORM/Scano.Q.1, WORM/MyDoom.L в терминологии Avira Antivir).
У меня вопрос. AVZ "с подозрением относится" к файлу NetView.exe. И понятно почему, нельзя ли сделать так, чтобы можно было самостоятельно добавлять файлы как безопасные, на свой страх и риск, естественно.

Зайцев Олег
06.05.2006, 19:59
Выслал последние полученные с почтой вирусы (WORM/Scano.Q.1, WORM/MyDoom.L в терминологии Avira Antivir).
У меня вопрос. AVZ "с подозрением относится" к файлу NetView.exe. И понятно почему, нельзя ли сделать так, чтобы можно было самостоятельно добавлять файлы как безопасные, на свой страх и риск, естественно.
Я думаю о возможности самостоятельного добавления файлов в базу безопасных, но это палка о двух концах - с одной стороны удобно, с другой - каждому придется делать это индивидуально. С третьей - это исказит работу AVZ для раздела "Помогите". Я думаю несколько иначе - сделать возможность вести базу "Известных пользователю программ". Тогда AVZ ругаться будет, но с припиской, что это программа безопасна я точки зрения пользователя
PS: Я тоже могу ошибиться, внося файлы в базу безопасных. Поэтому помимо изучения вручную коллекция чистых объектов постоянно проверяется тремя-четырьма антивирусами в самом параноидальном режиме - в качестве меры самоконтроля.

Синауридзе Александр
06.05.2006, 22:38
Здравствуйте Олег!
Сегодня прогнал свой комп. новой версией AVZ и вот результат:

Протокол антивирусной утилиты AVZ версии 4.16
Сканирование запущено в 07.05.2006 0:05:41
Загружена база: 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 05.05.2006 11:59
Загружены микропрограммы эвристики: 359
Загружены цифровые подписи системных файлов: 49268
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
1. Поиск RootKit и программ, перехватывающих функции API
Ошибка в работе антируткита [Access violation at address 00572064 in module 'avz.exe'. Read of address 00000000], шаг [3]
2. Проверка памяти
Количество найденных процессов: 0
Количество загруженных модулей: 0
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\services.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\services.dll>>> Нейросеть: файл с вероятностью 12.17% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
В ходе проверки возникла ошибка. Проверка не производилась
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 88812, извлечено из архивов: 48121, найдено вредоносных программ 0
Сканирование завершено в 07.05.2006 0:25:45
Сканирование длилось 00:20:04

Что это может значить?:?
Два дня назад с версией 4.15 такого не наблюдалось.:P

Sanja
07.05.2006, 00:54
C:\WINDOWS\services.dll
Похоже на вирус, вышлите как написано в правилах

Spirit
07.05.2006, 01:26
Видимо, все ломанулись качать, так как открывается сайт меееедлеенноо.у меня наоборот быстро:D

Палыч
07.05.2006, 02:18
у меня наоборот быстро:D
Олег уже написал, почему было медленно. http://virusinfo.info/showpost.php?p=72560&postcount=5
И совершенно понятно, почему у тебя сейчас быстро.

DimaT
07.05.2006, 07:08
C:\WINDOWS\services.dll
Похоже на вирус
Sanja, совершенно верно.
Синауридзе Александр, смотри заключение Олега в предыдущей ветке...

Зайцев Олег
07.05.2006, 07:52
C:\WINDOWS\services.dll
Похоже на вирус, вышлите как написано в правилах
Ну вот, файл пришел. Это троян, точнее - Trojan-Downloader.Win32.Agent.zf, сжат UPX, внедряется в другие процессы при помощи ловушек, внутри руткит обработчик. Типовые проявления - создает мьютекс "Sys32SFB" и троянский поток в пораженном приложении. Перехватывает ZwQueryDirectoryFile и ZwQuerySystemInformation модификацией их машинного кода (точнее, меняются первые 6 байт). вообще-то в логе AVZ должны быть данные о перехвате этих двух функций ... т.к. перехват идет классическим методом. Вмето этого в логе ошибка, сейчас помотрю, в чем там дело ...

Синауридзе Александр
07.05.2006, 14:38
Ну вот, файл пришел. Это троян, точнее - Trojan-Downloader.Win32.Agent.zf, сжат UPX, внедряется в другие процессы при помощи ловушек, внутри руткит обработчик. Типовые проявления - создает мьютекс "Sys32SFB" и троянский поток в пораженном приложении. Перехватывает ZwQueryDirectoryFile и ZwQuerySystemInformation модификацией их машинного кода (точнее, меняются первые 6 байт). вообще-то в логе AVZ должны быть данные о перехвате этих двух функций ... т.к. перехват идет классическим методом. Вмето этого в логе ошибка, сейчас помотрю, в чем там дело ...

А обновлений пока нет.:? Олег а как насчет второго файла?

Зайцев Олег
07.05.2006, 18:56
А обновлений пока нет.:? Олег а как насчет второго файла?
Обновления будут после праздников... этот руткит помог, т.к. с его помощью изловлен баг (в рутките есть ошибка, которая повлияла на антируткит AVZ).
По поводу файла best.exe:
Мой приговор - троян класса Startpage, сжат FSG, открывает сайт www.1987324.com, создает в Избранном посторонний ярлык, меняет стартовую
страницу на www.1987324.com?299 и записывает этот сайт в надежные узлы. Вердикт: файл этот нужно прибить ...

maXmo
09.05.2006, 22:12
Трафик моего сайта сейчас 60-80 ГБ в месяц, а если еще и английский язык - то будет рукотворный DDoS, даже сейчас апдейтер AVZ страшнее бот-нета :) лол, мутируй апдейтер в P2P-приложение :L

DimaT
10.05.2006, 07:25
Проверил работу новой версии AVZ на хорошо защищенной, беспроблемной машине на работе.

Основные ''проблемы'' с софтом для программирования и с ''коллегами'':

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Rational\ClearCase\bin\ccasenp.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Rational\ClearCase\bin\ccasenp.dll>>> Нейросеть: файл с вероятностью 0.85% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Rational\ClearCase\bin\LIBATRIANT.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Rational\ClearCase\bin\LIBATRIANT.dll>>> Нейросеть: файл с вероятностью 0.55% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Network Associates\VirusScan\scriptproxy.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Network Associates\VirusScan\scriptproxy.dll>>> Нейросеть: файл с вероятностью 0.73% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Network Associates\VirusScan\mytilus.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Network Associates\VirusScan\mytilus.dll>>> Нейросеть: файл с вероятностью 0.77% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Network Associates\VirusScan\Res09\McShield.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Network Associates\VirusScan\Res09\McShield.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
А также жалобы на файлы МSDN...

И здесь ''бдит'':

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
На данном ПК открыто 43 TCP портов и 44 UDP портов
>>> Обратите внимание: Порт 6129 TCP - Dameware Remote Admin (c:\windows\system32\dwrcs.exe)
>> Обратите внимание: Порт 1111 UDP - Backdoor.Daodan, Backdoor.Delf (\??\c:\windows\system32\winlogon.exe)
>> Обратите внимание: Порт 1116 UDP - Backdoor.Lurker (c:\program files\rational\clearcase\bin\view_server.exe)

Xen
10.05.2006, 08:03
Мда, детектирование по номерам портов еще хуже, чем по именам файлов =)

AndreyKa
10.05.2006, 08:58
Я думаю о возможности самостоятельного добавления файлов в базу безопасных, но это палка о двух концах - с одной стороны удобно, с другой - каждому придется делать это индивидуально. С третьей - это исказит работу AVZ для раздела "Помогите". Я думаю несколько иначе - сделать возможность вести базу "Известных пользователю программ". Тогда AVZ ругаться будет, но с припиской, что это программа безопасна я точки зрения пользователя
PS: Я тоже могу ошибиться, внося файлы в базу безопасных. Поэтому помимо изучения вручную коллекция чистых объектов постоянно проверяется тремя-четырьма антивирусами в самом параноидальном режиме - в качестве меры самоконтроля.
У меня дежа вю или я что то подобное уже читал? А вот оно :)
http://bugs.drweb.com/bug_view_advanced_page.php?bug_id=0004838

Зайцев Олег
10.05.2006, 15:25
У меня дежа вю или я что то подобное уже читал? А вот оно :)
http://bugs.drweb.com/bug_view_advanced_page.php?bug_id=0004838
А что там пишется - меня он не пускает - пароль хочет ...

Зайцев Олег
10.05.2006, 15:27
Проверил работу новой версии AVZ на хорошо защищенной, беспроблемной машине на работе.

Основные ''проблемы'' с софтом для программирования и с ''коллегами'':

А также жалобы на файлы МSDN...

Это нормально - файлы не попадались в базу безопасных, вот он и шумит - если не трудно, я прошу эти файлы скинуть мне для добавления в базу чистых объектов ...

anton_dr
10.05.2006, 15:33
А что там пишется - меня он не пускает - пароль хочет ...
И меня любопытство сподвигло зарегистрироваться.

Reporter AndreyKa
View Status public
Summary Расширении функциональности сканера DrWeb
Description При проверке автоматически загружаемых программ выводить список не известных (следовательно, подозрительных) программ и модулей. Количество правомерно загружаемых программ измеряется сотнями или даже тысячами, но возможность отсеивать &laquo;зерна от плевел&raquo; на мой взгляд, стала необходимой.
И, соответственно, должна быть возможность отправить подозрительные программы в карантин.

Geser
10.05.2006, 15:36
Не будут они делать этого, так же как ЛК не хотят.

AndreyKa
10.05.2006, 15:46
А что там пишется - меня он не пускает - пароль хочет ...
Там вот такие слова есть:
---
нужна возможность для пользователя, добавлять в отдельный список (через GUI) программы которым он доверяет (чтоб не маячили каждый раз).
---
А припомнил я это (написано было в январе 2005г.) по тому, что я был бы рад увидеть реализацию моих предложений в AVZ, раз уж в Dr.Web их отвергли.

DimaT
11.05.2006, 07:40
Это нормально - файлы не попадались в базу безопасных, вот он и шумит - если не трудно, я прошу эти файлы скинуть мне для добавления в базу чистых объектов ...
Послал пакет.
Добавляй.

agnec
11.05.2006, 11:42
и все же хочется видеть работающее обновление через прокси.

Зайцев Олег
11.05.2006, 11:52
и все же хочется видеть работающее обновление через прокси.
Тогда нужны учтонения - у меня Инет через прокси, обновление идет без проблем.
Представляет инстерес:
1. Какой браузер применяется (в частности, настроен ли IE на работу через прокси)
2. Требует ли прокси авторизацию ?
3. Какой тип и версия прокси ?

anton_dr
11.05.2006, 12:15
Тогда нужны учтонения
Представляет интерес:


От меня.
1. Макстон, в ИЕ настройки прокси есть.
2. Да, NTLM
3. ISA 2000

Еще уточнение - до версии 4.15 обновление работало.

Sel
12.05.2006, 11:24
1. Mozilla Firefox , в ИЕ настройки прокси есть.
2. Да, HTTP
3 не знаю

Shu_b
12.05.2006, 12:21
1. FF, Opera , в ИЕ настройки прокси есть.
2. Да, NTLM
3. ISA, версию не знаю

Sergio-user
14.05.2006, 02:17
Было бы очень приятно, если б наконец
появилась опция "стража" под win9x.
И очень жду опции сканирования реестра... -
если ворм(ы) активно засоряет реестр - за этим
тоже надо следить. Да и выслеживать по изменениям
реестра червей легче (автозапуск). ИМХО.

Когда это, (а также версии под линь) будет реализовано,-
эта программа будет полноценным антивирусным софтом!

Pick
15.05.2006, 16:16
Интересный факт.
При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается. Проверенно - несколько раз. Далее - сканирование дисков, и "состема восстановлена после серьёзного збоя...". Что-бы это значило?
Фаер и т.д. были заблаговременно отключены.

Cool Cat
15.05.2006, 22:27
RootKit

Может быть ... есть проблема с какимто методом детекта RootKit на
твоей системе .... видел подобный глюк

ведь методы разные, некоторые как в программе Process Hunter
могут привести к перезагрузке...

Если в системе стоит функция немедленно перезагрузить компьютер
при критической ошибке (что спасает от зависания),,,
может произойти такая штука!!!

Зайцев Олег
16.05.2006, 07:45
Может быть ... есть проблема с какимто методом детекта RootKit на
твоей системе .... видел подобный глюк

ведь методы разные, некоторые как в программе Process Hunter
могут привести к перезагрузке...

Если в системе стоит функция немедленно перезагрузить компьютер
при критической ошибке (что спасает от зависания),,,
может произойти такая штука!!!
Я вот тоже похожее видел ... причем проявляется не всегда и не на всех программах.

aintrust
16.05.2006, 15:53
Интересный факт.
При запуске последней версии программы с активацией пункта "Блоктровать работу RootKit Kernel-Mode", во время проверки системы комп перезагружается. Проверенно - несколько раз. Далее - сканирование дисков, и "состема восстановлена после серьёзного збоя...". Что-бы это значило?
Фаер и т.д. были заблаговременно отключены.
Тут, по сути, две проблемы:
1) даже если вы отключили фаер и пр. через GUI - это совсем еще не означает, что он реально выгружен/неактивен. Скорее всего, он просто прозрачно пропускает все вызовы. Это особенно актуально для драйверов, которые в большинстве случаев фаеры динамически не выгружают (а в некоторых случаях это просто невозможно!);
2) AVZ выполняет операцию "разблокировки" неатомарно (т.е. не за один раз для всех перехваченных системных вызовов) - это тоже может в некоторых случаях приводить к плачевным результатам.

Это происходит действительно только в последней версии AVZ, уверены в этом? Можете прислать мини-дамп, если есть? И еще - режим AVZGuard у вас включается/выключается нормально?

Cool Cat
16.05.2006, 20:00
Тут, по сути, две проблемы:
1) даже если вы отключили фаер и пр. через GUI - это совсем еще не означает, что он реально выгружен/неактивен. Скорее всего, он просто прозрачно пропускает все вызовы. Это особенно актуально для драйверов, которые в большинстве случаев фаеры динамически не выгружают (а в некоторых случаях это просто невозможно!);


Можно проверить активна ли служба данного антивируса, фаервола...
в "Cлужбах" (если надо атключить!?)

ПУТЬ
Пуск > Настройки > Панель управления > Администрирование > Службы


Можно проверить (если получется) отключить драйвер!

ПУТЬ
Мой компютер > Сведения о системе > Диспетчер устройств > Вид > Показать скрытые устройства

в открывшемся дереве > Ветка:Драйвера устройств не "Плуг ин Плай"
....Там они обычно и лежат


отключить драва, перезагрузить, и ещё раз проверить AVZ...
(инагда даже таким макаром можно установить 2 и более антивируса)



Это происходит действительно только в последней версии AVZ, уверены в этом?

Я видел подобное ещё до введения AVZGuard



И еще - режим AVZGuard у вас включается/выключается нормально?

Включяется да,,, а после окончяния проверки HDD, помогает только перезагрузка :)

aintrust
17.05.2006, 11:13
to Cool Cat
1. Почему бы вам не зарегистрироваться на этом форуме, если вы заинтересованы в развитии AVZ?
2. Попробуйте связаться непосредственно с автором AVZ и изложить более-менее подробно весь комплекс проблем, с которым вы сталкиваетесь при работе с AVZ - я думаю, что это будет и вам, и AVZ только на пользу! :)

Cool Cat
17.05.2006, 13:04
aintrust


Вроде сработало.... :)

aintrust
17.05.2006, 13:41
Ага... сработало! Добро пожаловать на форум! ;)

Ну что же, 1-й шаг сделан - теперь можно и 2-й! :P

Pick
17.05.2006, 16:25
На домашнем компе такого не наблюдалось.
А в организации попробовал на другой машине.. Аналогичная ситуация.
В AVZ проставил только "Блоктровать работу RootKit Kernel-Mode", нажал "Пуск", и ... "система восстановлена после...".
На всех машинах стоит ХП2 с фаером Sygate, без антивируса.
Разница только в доступе к интернету: дозвон и АДСЛ.

aintrust
17.05.2006, 19:38
to Pick
Ответьте, если нетрудно, на вопросы в посте #44, а также:
- о каком именно Sygate вы говорите, о Sygate Personal Firewall Pro? Какая версия продукта у вас сейчас установлена?
- где у вас "дозвон" - дома или в офисе?

Pick
18.05.2006, 12:41
to Pick
Ответьте, если нетрудно, на вопросы в посте #44, а также:
- о каком именно Sygate вы говорите, о Sygate Personal Firewall Pro? Какая версия продукта у вас сейчас установлена?
- где у вас "дозвон" - дома или в офисе?
Sygate Personal Firewall Pro 5,6,2818 на всех машинах.
"дозвон" - дома.

Pick
18.05.2006, 12:46
Тут, по сути, две проблемы:
1) даже если вы отключили фаер и пр. через GUI - это совсем еще не означает, что он реально выгружен/неактивен. Скорее всего, он просто прозрачно пропускает все вызовы. Это особенно актуально для драйверов, которые в большинстве случаев фаеры динамически не выгружают (а в некоторых случаях это просто невозможно!);
2) AVZ выполняет операцию "разблокировки" неатомарно (т.е. не за один раз для всех перехваченных системных вызовов) - это тоже может в некоторых случаях приводить к плачевным результатам.

Это происходит действительно только в последней версии AVZ, уверены в этом? Можете прислать мини-дамп, если есть? И еще - режим AVZGuard у вас включается/выключается нормально?
Сори. Дома не последняя версия а 4,14..

DoggoD
18.05.2006, 12:53
Надеюсь, пишу в правильную тему..
AVZ 4.16 5.05.2006
При использовании функции "Исследование системы" при наличии галки на "Порты TCP/UDP", постоянно вылетает ошибка
"Access violation at address 004EF42E in module 'avz.exe'. Write of address 00000010." На предыдущей версии была, кстати, тоже.

Зайцев Олег
18.05.2006, 13:11
Sygate Personal Firewall Pro 5,6,2818 на всех машинах.
"дозвон" - дома.
Вроде бы баг поймался, скоро выйдет 4.17, там все должно работать как надо.

aintrust
18.05.2006, 15:40
Sygate Personal Firewall Pro 5,6,2818 на всех машинах.
"дозвон" - дома.
Ага, спасибо - кое-что прояснилось! Пробуйте на версии AVZ 4.17, когда она выйдет...

pro100
20.05.2006, 16:04
Здрасьте! При обновлении баз 4.16 пишет программа выдаёт такое сообщение "обновление баз прошло успешно", а при запуске, програма предлагает повторить ситуацию (Внимание !!! База поcледний раз обновлялась 05.05.2006 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)) Подскажите в чём причина?

pro100
20.05.2006, 16:05
Здрасьте! При обновлении баз 4.16 программа выдаёт такое сообщение "обновление баз прошло успешно", а при запуске, програма предлагает повторить операцию (Внимание !!! База поcледний раз обновлялась 05.05.2006 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)) Подскажите в чём причина?

AndreyKa
20.05.2006, 17:34
При обновлении баз 4.16 программа выдаёт такое сообщение "обновление баз прошло успешно", а при запуске, програма предлагает повторить операцию (Внимание !!! База поcледний раз обновлялась 05.05.2006...
Пока обновления баз выходят реже, чем задумано Олегом. :(
Олег, может быть подкоректировать это сообщение, а то кажется что, обновление не работает, а не просто базы старые. Например так:

Внимание !!! База AVZ выпущена 05.05.2006...

pro100
20.05.2006, 22:03
Спасибо, а то я уже подумал, что проблема в моём компе.

Зайцев Олег
20.05.2006, 22:04
Пока обновления баз выходят реже, чем задумано Олегом. :(
Олег, может быть подкоректировать это сообщение, а то кажется что, обновление не работает, а не просто базы старые. Например так:

Внимание !!! База AVZ выпущена 05.05.2006...
Да, базы еще не обновились ... обновление пройдет в понедельник. Просто в последнее время я достаточно активно модернизирую невидимую для пользователя сторону AVZ - сам вирлаб ... в скором времени базы будут обновляться регулярно, не реже чем раз в неделю.

Serg_svp
22.05.2006, 10:18
Есть еще один баг.
Настройки: проверить типы файлов - все
есть каталог \my\avz
Создаю папку my\avz\avz.vir.Test
кладу туда зараженные файлы -
avz в упор в папке не видит ни одного файла
[ проверка:
c:\avz\avz.vir.test ...
проверено 0 файлов...]
Не знаю, но у меня постоянно это было, пока не выложил
папку в другой внешний каталог.
Никто не сталкивался..?
-----
BR
/Sergey

anton_dr
22.05.2006, 10:48
Кажется, Олег писал, что АВЗ не смотрит папку и подпапки с самим собой.

Зайцев Олег
22.05.2006, 13:05
Кажется, Олег писал, что АВЗ не смотрит папку и подпапки с самим собой.
Вот именно - это специальная фича для того, чтобы AVZ не залечил собственный карантин. Но этот режим является управляемым - он описан в разделе 8.2 справки, ключик ScanAVZFolders

anton_dr
22.05.2006, 13:30
Олег, а не может быть такого, что какой-нить зверь, зная эту фичу, запишется именно в папочку АВЗ? И АВЗ его благополучно пропустит?

svp
22.05.2006, 14:19
Олег, а не может быть такого, что какой-нить зверь, зная эту фичу, запишется именно в папочку АВЗ? И АВЗ его благополучно пропустит? может просто блокировать доступ к своим файлам и все. (или мониторить), а проверять, думаю, все ж нужно. drweb же так делает..? Ещё: в карантине лежит куча файлов за 15.05 - все загр. модули из памяти:
[InfectedFile] Src=C:\Program Files\Java\jre1.6.0\bin\ssv.dll Infected=avz00032.dta Virus=Скопирован автоматически из диспетчера объектов IE QDate=15.05.2006 4:26:54 Size=237568 FileDate=09.02.2006 14:09:04 ...
Src=C:\WINDOWS\SYSTEM\NVDD32.DLL Infected=avz00007.dta Virus=Скопирован автоматически из диспетчера процессов QDate=15.05.2006 4:26:45 хотел взглянуть в лог проверить, но там инфо только за 14.апр.

Зайцев Олег
22.05.2006, 14:48
может просто блокировать доступ к своим файлам и все. (или мониторить), а проверять, думаю, все ж нужно. drweb же так делает..? Ещё: в карантине лежит куча файлов за 15.05 - все загр. модули из памяти: хотел взглянуть в лог проверить, но там инфо только за 14.апр.
Для этого и сделан ключик - можно с его помощью переключить режим. Плюс естественно самоконтроль самого AVZ.EXE... Если в карантине лежат модули, которые судя по сообшеию были в памяти, то это скорее всего результат запуска автоматического карантина.

Зайцев Олег
22.05.2006, 15:13
Вышло очередное обновление баз, доступное через встроенную систему обновления баз AVZ. Обновленная база содержит 23222 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 49284 подписей безопасных файлов.
Как видно по цифров, в базу добавилось около тысячи "зловредов". Базой (ее сборкой, обновлением, раскладкой и т.п.) теперь полностью рулит компьютер, так что с небольшой степенью вероятности возможны глюки. Кроме баз обновился архив, содержащий все базы оптом.

svp
22.05.2006, 15:29
сейчас взял файлик с папки Infected положил его отдельно.
проверил - avz сказал - что чист.(макс. уровень эвристики)

svchost.exe - virus: Win32.Hidrag
может он уже подлеченый? не пойму

Зайцев Олег
22.05.2006, 15:44
сейчас взял файлик с папки Infected положил его отдельно.
проверил - avz сказал - что чист.(макс. уровень эвристики)

может он уже подлеченый? не пойму
Можно скринуть его мне почтой - для изучения. Скорее всего это тело Hidrag - в этом случае размер файла svchost.exe должен быть равен 36352 байта

svp
23.05.2006, 13:36
Можно скринуть его мне почтой - для изучения. Скорее всего это тело Hidrag - в этом случае размер файла svchost.exe должен быть равен 36352 байта а думаю понял, в файле наверное были вырезаны определенные байты. тогда все ясно. ---- вопрос: есть ли в планах сделать обновление базы частями?

Зайцев Олег
23.05.2006, 13:58
а думаю понял, в файле наверное были вырезаны определенные байты. тогда все ясно. ---- вопрос: есть ли в планах сделать обновление базы частями?
Обновление частями это как ? Это уже реализовано в последоних апдейтах, например main.avz побит на два файла, в дальнейшем он бедет биться на куски по 30-50 кб. Аналогично и с остальными файлами

svp
23.05.2006, 14:22
Обновление частями это как ? Это уже реализовано в последоних апдейтах, например main.avz побит на два файла, в дальнейшем он бедет биться на куски по 30-50 кб. Аналогично и с остальными файлами не заметил сразу. Не смотря на обновление те 4 запакованные файла так и небыли включены в базу. .. Олег, они оказались чистыми? ..Странно.

Зайцев Олег
23.05.2006, 14:54
Скорее всего оказались чистыми, но файлы не сразу попадают в базу, а становятся в рчередь. Если у файла есть явные копирайты и можно понять, откуда он такой (и найти дистрибутив ...) - он включается в первую очередь. Если нет - то изучается и рано или поздно будет добавлен. А как архив назывался и от какого он числа ? (сейчас проверю)

svp
23.05.2006, 15:27
Скорее всего оказались чистыми, но файлы не сразу попадают в базу, а становятся в рчередь. Если у файла есть явные копирайты и можно понять, откуда он такой (и найти дистрибутив ...) - он включается в первую очередь. Если нет - то изучается и рано или поздно будет добавлен. А как архив назывался и от какого он числа ? (сейчас проверю)
пер. Viruses(1+1susp).rar от 23 мая .
втор. svchost2006-01-10.7z.arch от 23 мая. но я его тока седня послал.

svp
23.05.2006, 15:37
... Если у файла есть явные копирайты и можно понять, откуда он такой не понял у какого файла, у вируса?
я то думал кейруты или троянцы не имеют копирайтов... они зачем? я бывает проверяю систему на вылазку голой в инет, но такие мне почти не попадались.. 8) наверно это шутка..

Зайцев Олег
23.05.2006, 15:52
не понял у какого файла, у вируса?
я то думал кейруты или троянцы не имеют копирайтов... они зачем? я бывает проверяю систему на вылазку голой в инет, но такие мне почти не попадались.. 8) наверно это шутка..
Нет, не шутка - я думал, речь идет о чистых файлах :) А архивы пришли, я их еще не посмотрел

Зайцев Олег
24.05.2006, 09:33
Вышло очередное обновление баз, доступное через встроенную систему обновления баз AVZ. Обновленная база содержит 23596 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 49360 подписей безопасных файлов.

KiVi
24.05.2006, 20:08
Программа хорошая, только что-то трояна clientMan не нашла. Хотя тут-же SpyRemover его показал.

Зайцев Олег
24.05.2006, 21:51
Программа хорошая, только что-то трояна clientMan не нашла. Хотя тут-же SpyRemover его показал.
А троян то был ? Может, просто ключ в реестре или что-то вроде этого ... если есть образец - присилайте, внесу в базу.

Sel
25.05.2006, 05:52
Подскажите пожалуйста, уже второй раз выходят обновления, но так как через прокси, надеюсь пока, обновиться не возможно захожу на сайт и в обновлении забираю RAR архив затем копирую его в папку Base, но при просмотре в СПРАВКА/О ПРГРАММЕ/БАЗЫ AVZ и при сканировании программа выдаёт содержание старых баз от 05.05 и обновление не регестрирует. Может я что-то делаю не так? Спасибо.

anton_dr
25.05.2006, 10:56
Может я что-то делаю не так? Спасибо.
Именно. Базы там заархивированы. Нужно открыть его открыть архиватором, и распаковать с заменой существующих все файлы в папку AVZ/Base.

Sel
25.05.2006, 12:08
Да, именно так и сделал, результат в самой папке соответственно изменился а сама программа эти изменения не видит.

anton_dr
25.05.2006, 12:25
Видит. Если посмотрите внимательно, в меню о программе, когда откроете, сама программа 4,16 версия от 5го. 05. Есть вкладка базы авз - там некоторые файлы действительно от 5.05. Но есть и от 24го. При сканировании выводит, что база от 24го.

Sel
25.05.2006, 12:43
anton_dr
К сожалению не могу сделать скриншот списка баз и они не копируются, но проверил несколько раз, нет там баз от 24.05.06 только от 05.05.06 и ещё раньше вот привожу выдержку с программы после сканирования.

"Внимание !!! База поcледний раз обновлялась 05.05.2006 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.16
Сканирование запущено в 25.05.2006 15:31:45
Загружена база: 22022 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 05.05.2006 11:59
Загружены микропрограммы эвристики: 359"

У меня просто вопрос может я скачал не те базы обновления? Если не сложно где взять новые. Спасибо.

anton_dr
25.05.2006, 13:09
Возможно, вам прокси берет их из своего кеша старый avzbase.zip.
Закачал новые базы сюда, пробуйте
www.away.perm.ru/avzbase_new.zip

Sel
26.05.2006, 04:58
anton_dr

Скачал Ваш архив, заменил всё ОК. Большое спасибо. Архив я скачивал вот с этой страницы http://z-oleg.com/secur/avz/download.php может я не оттуда качал.

anton_dr
26.05.2006, 06:29
Качали оттуда, просто ваш прокси брал архив из своего кеша. Такое бывает.

KiVi
26.05.2006, 19:58
Был этот блин ClientMan. Причем, собака, самовозрождающийся. Тормозил загрузку винда, а потом переключал интернет на всякую хрень. Я почему на Ваш сайт и вышел - искал чем его изжить. Советовали даже переустановку. Выход нашел, даже сам не понял как - всё перепробовал и чем-то убил гада.

RiC
26.05.2006, 22:35
Олег, Haxdoor выжил - http://virusinfo.info/showthread.php?t=5582 , похоже AVZGuard с ним не справляется.

Зайцев Олег
27.05.2006, 09:17
Олег, Haxdoor выжил - http://virusinfo.info/showthread.php?t=5582 , похоже AVZGuard с ним не справляется.
Возможно - в новой версии появилась функция периодического восстановления перехватов по таймеру, это очень агрессивная штука. Противоядие я уже делаю...

orvman
28.05.2006, 18:25
в новой версии появилась функция периодического восстановления перехватов по таймеру ??? Олег, без обид. Вы понимаете?

Sanja
28.05.2006, 18:45
?? Я непонимаю Ж)

Зайцев Олег
28.05.2006, 19:12
?? Я непонимаю Ж)
Аналогично :)
На самом деле новый haxdoor я изучал (он в моей книге упомянут) и видел интересный эффект - он по таймеру через примерно 1 секунду восстанавливает свои перехваты ( и ануллирует перехваты, поставленные после него). Противодействие есть, но достаточно сложное.

AleksAleks
31.05.2006, 10:13
Олег, у меня AVZ 4.16 (обновления от 30.05.2006) "ругается" на apache для Windows. Может AVZ номер порта не понравился?

>>> Обратите внимание: Порт 1234 TCP - Trojan.Subseven, hotline_or_troj (c:\www\apache\apache.exe)

Зайцев Олег
31.05.2006, 10:35
Олег, у меня AVZ 4.16 (обновления от 30.05.2006) "ругается" на apache для Windows. Может AVZ номер порта не понравился?

>>> Обратите внимание: Порт 1234 TCP - Trojan.Subseven, hotline_or_troj (c:\www\apache\apache.exe)
Именно так и есть - он же просто проверяет порты, которые редко прослушиваются на среднестатистическом ПК.

Xen
31.05.2006, 11:38
Олег, убрал бы ты нафиг этот детект портов. Реально последний раз видел вышеупомянутый сабсевен уже не помню сколько лет назад...

Cool Cat
06.06.2006, 23:47
При включеном AVZGuard происходит ошибка,,,,
(где то уже постили на форуме про это)

Ошибка загрузки драйвера - проверка прервана

Лог (Без AVZGuard,,,,, и с AVZGuard)

aintrust
07.06.2006, 07:36
При включеном AVZGuard происходит ошибка,,,,
(где то уже постили на форуме про это)

Ошибка загрузки драйвера - проверка прервана

Лог (Без AVZGuard,,,,, и с AVZGuard)

Если это происходит при следующей последовательности действий:
- вы загружаете AVZ;
- сразу запускаете режим AVZGuard;
- запускаете проверку/лечение (кнопка "Пуск"),
то это известная ошибка AVZ с незапамятных времен. Просто в этом случае режим AVZGuard запрещает менеджеру сервисов загрузить драйвер AVZ, осуществляющий проверку/лечение системных перехватов.

Пока что лечится так:
- вы загружаете AVZ;
- запускаете проверку (кнопка "Пуск");
- и только теперь запускаете режим AVZGuard и последующее лечение.

Если же нет - то для начала пришлите, пожалуйста, лог, запустив AVZ из командной строки с ключом DEBUG=Y.

Cool Cat
07.06.2006, 19:52
Если это происходит при следующей последовательности действий:
- вы загружаете AVZ;
- сразу запускаете режим AVZGuard;
- запускаете проверку/лечение (кнопка "Пуск"),
то это известная ошибка AVZ с незапамятных времен. Просто в этом случае режим AVZGuard запрещает менеджеру сервисов загрузить драйвер AVZ, осуществляющий проверку/лечение системных перехватов.


Да действительно, были такие действия :)




Пока что лечится так:
- вы загружаете AVZ;
- запускаете проверку (кнопка "Пуск");
- и только теперь запускаете режим AVZGuard и последующее лечение.


Ну так впринципе сробатывает, но когда!
приблизительно в момент начяла проверки дисков.
(ИЗ лога)
Проверка памяти завершена
3. Сканирование дисков

У меня______________________________________________ ___
После снятия протекта AVZGuard в 9 из 10 случиях завись ПК
причём при попытки перезагрузить комп, появляется окно с просбой завершения Explorer.EXE (может и чтонибуть другое всплыть) иногда
всё это заканчивается жёсткой перезагрузкой.

DimaT
09.06.2006, 17:36
Oчередная проверка:

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\TEMP\ora2.tmp --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\TEMP\ora2.tmp>>> Нейросеть: файл с вероятностью 1.39% похож на типовой перехватчик событий клавиатуры/мыши
А у Касперского:

Проверенный файл: ora2.tmp - Инфицирован
ora2.tmp - инфицирован Virus.Win32.Parite.b
И совсем неожиданно:

На данном ПК открыто 29 TCP портов и 17 UDP портов
>>> Обратите внимание: Порт 1266 TCP - Global Killer 1.0 (d:\programs\avz\avz.exe)

DimaT
09.06.2006, 19:08
Запустил Kaspersky Internet Security и он кричит, что Virus.Win32.Parite.b заразил практичиски все ехе-файлы.
Как АVZ этого не заметил?
Настолько хитрый зверь?
Как он так сработал?
Какие дела мог натворить?

pig
09.06.2006, 19:20
Запустил Kaspersky Internet Security и он кричит, что Virus.Win32.Parite.b заразил практичиски все ехе-файлы.
Как АVZ этого не заметил?
Файловые вирусы не являются приоритетным объектом интереса Олега. Их классические антивирусы всегда хорошо ловили. AVZ - инструмент для борьбы с троянами. Пока что.

DimaT
09.06.2006, 21:42
Файловые вирусы не являются приоритетным объектом интереса Олега. Их классические антивирусы всегда хорошо ловили. AVZ - инструмент для борьбы с троянами. Пока что.
Это я знаю. Но один файл он таки ''подхватил''...
Почему остальных не заметил?

Зайцев Олег
09.06.2006, 23:07
Это я знаю. Но один файл он таки ''подхватил''...
Почему остальных не заметил?
Часто вирусы создают процесс, собственно являющийся его "телом" в чистом виде и заражающий все подряд (наиболее яркий пример - Hidrag). так вот в такой сутуации AVZ может найти и прибить таой процесс и "тело", но не будет лечить зараженные файлы.

DimaT
10.06.2006, 10:14
Файловые вирусы не являются приоритетным объектом интереса Олега. Их классические антивирусы всегда хорошо ловили. AVZ - инструмент для борьбы с троянами. Пока что.
A вот этого совсем не заметил:

удалено: троянская программа Trojan-Dropper.Win32.VB.mz Файл: c:\program files\common files\misc001\mendoza.exe/data0006

UriF
13.06.2006, 18:36
ожидается ли и , если да, то приблизительно, когда English Interface?
К сожалению, компьютер не руссифицирован (дома сумел открыть), а на работе...

Зайцев Олег
13.06.2006, 19:44
ожидается ли и , если да, то приблизительно, когда English Interface?
К сожалению, компьютер не руссифицирован (дома сумел открыть), а на работе...
Ожидается - через неделю-другую, сейчас идут окончательные бетта-тесты приватных англоязычных вариантов.

svp
14.06.2006, 01:44
"
c:\Program Files\Winamp\aVis\aVis.exe Invalid file - not a PKZip file
c:\Program Files\acrPrtEx\MediaBuilder.exe Invalid file - not a PKZip file
c:\Program Files\acrPrtEx\PartitionExpert.exe Invalid file - not a PKZip file
c:\WINDOWS\Temporary Internet Files\Content.IE5\6LQRAHQV\VIA_USB2_V270p1-L[1].zip Invalid file - not a PKZip file
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не об..."
Что значит not PKZip file - файл exe
(может быть он и упакован, но причем здесь "pkzip file"?).

Зайцев Олег
14.06.2006, 08:40
"
....
c:\Program Files\acrPrtEx\PartitionExpert.exe Invalid file - not a PKZip file
Что значит not PKZip file - файл exe
(может быть он и упакован, но причем здесь "pkzip file"?).
Все очень просто - это не простые EXE файлы. Если открыть любой из них в HEX редакторе и посмотреть в хвост, то обнаружится, что к EXE приписаны дополнительные данные (стык в стык в хвост). Работе EXE файла это не мешает, т.к. система грузит его согласно данным из заголовка. Анализируя такой EXE AVZ видит аномалию и пытается понять, что это за данные. В данном случае видимо он находит в файле что-то, похожее на ZIP архивы.