PDA

Просмотр полной версии : AVZ 4.19 - 4.21 + AVZGuard - тестирование, обсуждение, предложения по доработке



Страницы : [1] 2 3 4

Зайцев Олег
28.07.2006, 15:54
Вышла очередная версия AVZ - 4.19. Страница загрузки: http://z-oleg.com/secur/avz/download.php
[++] Новый менеджер - "Менеджер Downloaded Program Files". Подключен к автокарантину и исследованию системы
[++] Доработано исследование системы - появилась возможность включать в исследование все службы/драйверы (а не только активные), добавилась опция включения в HTML протокол скриптов для упрощения составления списков подозрительных файлов и скриптов для их сбора и удаления
[+] Доработан автокарантин - добавилась возможность включения неактивных служб и драйверов
[+] Добавлена возможность индивидуальной проверки указанного файла - ключ командной строки SCANFILE
[+] Добавлена возможность сохраненения протокола AVZ в формате CSV для удобства анализа
[+] Добавлена поддержка новых видов мейл-бомб а распаковщике ZIP архивов
[+] Расширена система команд скриптового движка: сохранение протокола в CSV формате, работа со списком запущенных процессов)
[+] Ряд мелких доработок в ревизоре и антирутките
-------------
Начиная с версии 4.19 начинаются публичные бета-тесты англоязычной версии - ее можно загрузить на основной странице загрузки, локализаван только сам AVZ, справка оставлена в русскоязычном варианте.

Белиал
28.07.2006, 16:45
Как раз сейчас скачиваю новую версию. Надеюсь, что появилась возможность обновить уже существующую таблицу в ревизоре, а то каждый раз создавать новую проблематично. И еще надеюсь, что увижу возможность в ревизоре задавать каталоги-исключения, например кэш браузера.

Зайцев Олег
28.07.2006, 19:52
Как раз сейчас скачиваю новую версию. Надеюсь, что появилась возможность обновить уже существующую таблицу в ревизоре, а то каждый раз создавать новую проблематично. И еще надеюсь, что увижу возможность в ревизоре задавать каталоги-исключения, например кэш браузера.
Каталоги-исключения задать можно - в двевовидном списке файлов можно не только помечать папки, но и снимать пометки с тех папок, для которых не требуется собирать данные. Ревизор запоминает эту информацию в базе и при сравнении анализирует только те папки, которые сканировались. А вот с обновлением базы ревизора есть проблема - она сживается при сохранении и редактировать ее после этого уже нельзя. Но эта проблема записана в очередь на доработку.

anton_dr
29.07.2006, 04:41
Олег, а обновление через прокси уже когда? И кнопка паузы при сканировании?
Да, ишо. Пытаюсь когда проверить обновление - первый раз пишет, сто ошибка, и файл поврежден. При повторной попытке обновить - намертво зависает.

RiC
29.07.2006, 15:21
В английской версии -
Database loaded 30947 signatures, 2 NN profile, 55 микропрограмм cure, AV base from 28.07.2006 16:10

2-я закладка с настройками -
Don't check archives larger the - дальше не влезает, может заменить на
"Max. archive size for check"

userr
29.07.2006, 20:20
Олег, что-то я не пойму, как в программе сделать так, чтобы все файлы из данной папки, неопознанные как безопасные, скопировались в карантин. И в отчете о сканировании хотелось бы иметь возможность получить список чистых, но НЕ найденных в базе безопасных файлов.

Зайцев Олег
30.07.2006, 10:47
Олег, что-то я не пойму, как в программе сделать так, чтобы все файлы из данной папки, неопознанные как безопасные, скопировались в карантин. И в отчете о сканировании хотелось бы иметь возможность получить список чистых, но НЕ найденных в базе безопасных файлов.
1. Копирование неопознанных как безопасные файлов достигается через поиск (поиск файлов в заданной папке по заданной маске, исключая опозранные как безопасные)
2. Список чистых по мнению сканера, но не найденных в базе безопасных можно получить, включая птичку "Отчет о читстых объектах" и "Проверять чистые объекты по базе безопасных" в закладке "типы файлов"
to RiC
Первое вроде бы исправлено, а вот "Max. archive size for check" сейчас подправлю, спасибо
anton_dr
Я подготовил небольшой тестер, завтра-послезавтра скину на него ссылочку - он качает файл размером 20 байт с моего сайт различными методами, на нем и откатаем глюки с обновлением через прокси

Geser
30.07.2006, 13:47
Сделано ли кптирование в карантин через драйвер прямого доступа к диску? А то многие жаловались что залоченные файлы не копируются.

Зайцев Олег
30.07.2006, 14:49
Сделано ли кптирование в карантин через драйвер прямого доступа к диску? А то многие жаловались что залоченные файлы не копируются.
Доделывается - я думаю, драйвер ПДД появится в 4.20 - залоченные файлы достали уже, пора нанести ответный удар :)

userr
30.07.2006, 17:57
1. Копирование неопознанных как безопасные файлов достигается через поиск (поиск файлов в заданной папке по заданной маске, исключая опозранные как безопасные)
Ага, спасибо.

2. Список чистых по мнению сканера, но не найденных в базе безопасных можно получить, включая птичку "Отчет о читстых объектах" и "Проверять чистые объекты по базе безопасных" в закладке "типы файлов"
Да, но в этом случае выводятся все чистые файлы, а хочется иметь опцию вывода ТОЛЬКО неопознанных. :) Хотя это в принципе реализовано, оказывается, через "поиск".

anton_dr
30.07.2006, 18:23
Я подготовил небольшой тестер, завтра-послезавтра скину на него ссылочку - он качает файл размером 20 байт с моего сайт различными методами, на нем и откатаем глюки с обновлением через прокси
Ок, ждем.

RiC
30.07.2006, 19:10
Ещё в английской версии не работает сборка скрипта в Html файле, кстати если появилась такая полезная фичка, то почему-бы не сделать примитивный текстовый редактор куда-бы можно было этот скрипт ввести, не заморачиваясь с сохранением его в файл ? Как в Avenger :)

"Delet all system process debbuger" в "востановлении системы".
следующая за ней вместо "reg" можно написать полностью - "registry".

Vulty
01.08.2006, 17:10
AVZ, версия 4.19 от 28/7/2006
система Windows 2000 AS, english

целый список ошибок типа
Ошибка LSP NameSpace: "Tcpip" --> отсутствует файл C:\Documents and Settings\Administrator.TEB\WINDOWS\System32\rnr20. dll

содержимое переменных окружения:
C:\Documents and Settings\Administrator.TEB>set
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Administrator.TEB\Application Data
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=DBST
ComSpec=C:\WINNT\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Administrator.TEB
LOGONSERVER=\\NST
NUMBER_OF_PROCESSORS=4
OS=Windows_NT
Os2LibPath=C:\WINNT\system32\os2\dll;
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\ Wbem;C:\Program Files\Microsoft SQL Server\80\Tools\BINN
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WS F;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0403
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINNT
TEMP=C:\DOCUME~1\ADMINI~1.TEB\LOCALS~1\Temp
TMP=C:\DOCUME~1\ADMINI~1.TEB\LOCALS~1\Temp
USERDNSDOMAIN=teb.local
USERDOMAIN=TEB
USERNAME=administrator
USERPROFILE=C:\Documents and Settings\Administrator.TEB
windir=C:\WINNT

что посоветуете?

pig
01.08.2006, 17:30
Терминальная сессия?

Vulty
01.08.2006, 17:34
Терминальная сессия?

м-м-м... в принципе, citrix там крутится, но AVZ запускался из локального входа, НЕ через удаленный доступ

pig
01.08.2006, 18:00
Возможно, одно наличие влияет... Шут его знает, откуда, но на терминальных серверах это постоянно вылезает.

Зайцев Олег
01.08.2006, 20:34
м-м-м... в принципе, citrix там крутится, но AVZ запускался из локального входа, НЕ через удаленный доступ
Видимо влияет терминалка ... хотя в пременных окружения "SESSIONNAME=Console" - это говорит о локальном входе с консоли.

anton_dr
03.08.2006, 21:55
Маааленький вопрос. Что значит в автозапуске строка

autocheck autochk *
Активен Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager, BootExecute

Xen
03.08.2006, 22:54
Все ок. Запускается нативный проверяльщик файловой системы на ошибки.

Alexey P.
03.08.2006, 23:49
В логе английской версии после обновления:
Database loaded 32006 signatures, 2 NN profile, 55 ìèêðîïðîãðàìì cure, AV base from 03.08.2006 09:30

Зайцев Олег
04.08.2006, 10:48
В логе английской версии после обновления:
Database loaded 32006 signatures, 2 NN profile, 55 ìèêðîïðîãðàìì cure, AV base from 03.08.2006 09:30
Ага - я заметил, кривовато база собралась с локализацией. После сегодняшнего обновления баз дожно исправиться.

Rene-gad
04.08.2006, 19:54
@Зайцев Олег
Интересный результат проверки (AVZ 4.19 englisch version, скачана сегодня, 03.08.06):

Dr.Web (R) daemon for Linux v4.33 (4.33.0.09211)
Copyright © Igor Daniloff, 1992-2005....
>avz4en.zip/avz4/avz.exe packed by UPX
In file >>avz4en.zip/avz4/avz.exe probably found virus DLOADER.Trojan
Мы то понимаем, что там ничаво такого быть не может, но понимает ли это Dr.Web ;) ?

_HEKTO_
04.08.2006, 21:18
У них на днях новый движок зарелизился, так он у меня 5 разных версий AVZ обозвал нехорошими словами.

Что-то лишнего накрутили.

Sanja
04.08.2006, 21:51
Судя по ченж-логу дрвеба, он не распаковывал УПХ которым пожат АВЗ Ж)

Зайцев Олег
05.08.2006, 09:15
Судя по ченж-логу дрвеба, он не распаковывал УПХ которым пожат АВЗ Ж)
Да - мне уже прислали штук сто сообщений об этом. Короче, если они не исправятся за 1-2 дня, придется внести в базу пару сигнатур на их поделку с названием "not-a-virus.KrivoiScanner.DrWEB.gen" :)

Xen
05.08.2006, 09:55
Олег, вы тут не единственный пострадавший. Причем рекомендую мониторить детект ДрВебом, так как некоторые позиции в его базе имеют обыкновение исчезать, в результате чего файл вновь продолжает детектироваться. Исправляют с очередным апдейтом, а потом через недельку снова алярмы и ахтунги по полной программе =)

drongo
05.08.2006, 18:10
AntiVir 6.35.1.0 08.05.2006 HEUR/Hijacker
Ну вот , я на вирустотале проверил :) Теперь антивир детектит .Будет весело , если другие вендоры засунут в базы .

:-)
06.08.2006, 12:48
А насколько умно оставлять компьютер на попечение AVZGuard ? (дня на 2-3)
Из сетевого софта работают БТ-клиенты , Аутпост , КАВ(с коекак настроенной проактивкой)

Зайцев Олег
06.08.2006, 13:10
А насколько умно оставлять компьютер на попечение AVZGuard ? (дня на 2-3)
Из сетевого софта работают БТ-клиенты , Аутпост , КАВ(с коекак настроенной проактивкой)
Это совершенно неразумно. AVZGuard - это блокиратор активности зловредов. Его задача - защитить AVZ и запускаемое им ПО от типовых нападок зловреда, а главное - блокировать зловреду пересоздание ключей реестра и файлов на время лечения. Активация Guard во время обычной работы ни к чему хорошему не приведет - опасности для компьютера и системы он не создаст, но нормальную работу ПО нарушит.

Зайцев Олег
06.08.2006, 13:13
AntiVir 6.35.1.0 08.05.2006 HEUR/Hijacker
Ну вот , я на вирустотале проверил :) Теперь антивир детектит .Будет весело , если другие вендоры засунут в базы .
Ага - мода пошла на "эвристику" - он явно ищет строки с именами ключей реестра, применяемых ИЕ ... они есть в теле AVZ в открытом виде. Видимо придется написать для AVZ хитрый самопальный пакер/криптер, чтобы избавиться от такого безобразия.

drongo
07.08.2006, 16:17
Поддерживаю и именно самопальный :)
Надо бы интерфейс поправить AVZ EN :)(При обновлени слова друг на друга наступают ), и сами выражения я бы подправил . Олег , а почему нельзя сделать отдельный текстовый файл с языком, каждый кто бы хотел помоч -правил на другой язык , был бы международный проект .

:-)
07.08.2006, 17:16
Понял , спасибо. Бредосовская мысль пришла в голову ,когда во время скана при включенном AVZGuard не удалось запустить Винамп. Попробовал запустить асю , флешгет.. понравилось . Вот и подумал о такой "блокировке" , т.к кроме запущенных приложений в моё отсутствие ничего запускаться не должно(ручками). Удалённо никто не заходит(кажется):) и не должен.... Грамотно проактивку в КАВ настроить мозга не хватает.:?

Andrey
07.08.2006, 19:06
AntiVir 6.35.1.0 08.05.2006 HEUR/Hijacker
Ну вот , я на вирустотале проверил :) Теперь антивир детектит .Будет весело , если другие вендоры засунут в базы .

Обещали на днях исправить. Ждем :)

Rene-gad
07.08.2006, 21:06
общий привет.
не знаю, почему, но у меня при завершении работы AVZ стартует маленькая тулза Simple Screenshot, которой я пользуюсь уже много лет, и шарашит бесконечные пустые скриншоты. Eсли кто-то хочет протестировать - даю ссылочку: http://www.wt-rate.com/freeware5.htm#sss

Зайцев Олег
07.08.2006, 21:44
общий привет.
не знаю, почему, но у меня при завершении работы AVZ стартует маленькая тулза Simple Screenshot, которой я пользуюсь уже много лет, и шарашит бесконечные пустые скриншоты. Eсли кто-то хочет протестировать - даю ссылочку: http://www.wt-rate.com/freeware5.htm#sss
Любопытно ... а если для опыта запустить AVZ, но отключить поиск кейлоггеров - это произойдет или нет. Есть подозрение, что эта утилита устанавливает hook для отлова нажатия определенного сочетания клавиш, и анализатор AVZ провоцирует эту утилиту.

Rene-gad
08.08.2006, 08:55
... а если для опыта запустить AVZ, но отключить поиск кейлоггеров - это произойдет или нет.
не происходит :) .

Numb
08.08.2006, 09:48
Имеется следующая проблема: ОС (Windows 2000 professional SP4) установлена на диск D:. При запуске утилиты АВЗ с диска C: попытка поиска перехватчиков в Kernel mode завершается с ошибкой (не может найти ntoskrnl.exe). В случае запуска утилиты с диска D: поиск проходит нормально

Surfer
09.08.2006, 20:39
Здраствуйте Олег.

Пару предложений по поводу AVZ : возможность интеграции (контекстное меню --> проверить с помощью AVZ) - будет очень удобно.
И если будет время , такое предложение - http://forum.kaspersky.com/index.php?showtopic=16202 (я так думаю нужная функция для продвинутых пользователей)

Зайцев Олег
10.08.2006, 07:53
Здраствуйте Олег.

Пару предложений по поводу AVZ : возможность интеграции (контекстное меню --> проверить с помощью AVZ) - будет очень удобно.
И если будет время , такое предложение - http://forum.kaspersky.com/index.php?showtopic=16202 (я так думаю нужная функция для продвинутых пользователей)
Интергация с оболочкой проста, но требует инсталлировать AVZ, что несколько нарушает его концепуию. Но вариант с инсталлятором рано или позно появится, там это будет.
По поводу указанной ссылки на форум ЛК - такая функция в AVZ существует очень давно, нужно только задачь ключик Unpack_Archives=Y (попробности по спец. ключам см. http://z-oleg.com/secur/avz_doc/, раздел 9.2) в командной строке или скрипте, извлеченные файлы вынимаются в папку UNPACKED в рабочем каталоге AVZ

anton_dr
10.08.2006, 08:04
Я подготовил небольшой тестер, завтра-послезавтра скину на него ссылочку - он качает файл размером 20 байт с моего сайт различными методами, на нем и откатаем глюки с обновлением через прокси
Осторооожненько так, напоминаю :)

Зайцев Олег
10.08.2006, 09:02
Осторооожненько так, напоминаю :)
Помню, помню ... :)

Scitalec
11.08.2006, 15:27
Я тут Вам недавно прислал вирус, детектируемый KAV 2006.
Проблема с Folder.htt.
Нигде не могу найти его описание, и по адресу ли я его послал?:)

pig
11.08.2006, 17:50
Redlof, что ли? Он должен быть на viruslist.ru

*Cool Cat
12.08.2006, 01:56
Недавно погонял AVZ (v4.15 - 4.19) на новеньком ноутбуке в разных режимах проверки …. хочу сказать, что не каких “тормозов” с работой AVZGuard, обнаружено не было
так что беру свои слова обратно :) конфликты, скорее всего, были связанны со старостью системы (ОС стоит уже 1.5 года) и прочих нюансов.

Предлагаю внести небольшие изменения:


1)
(для проверки в режиме НЕ ОНЛАЙН)

Путь: ФАЙЛ > ИСЛЕДОВОВАНИЕ СИСТЕМЫ >

Снять “галку” с пункта Порты TCP\UDP
(приводит к старой ошибке)

гораздо гуманнее не включать исследование портов по умолчанию… а просто выделить этот пункт другим цветом … для бдительности
(другое дело это возможно скажется на автоматическом управлении AVZ с помощью скрипов)
В настройках AVZ тоже можно снять опцию, проверки портов (по умолчанию)

2)
Предлагаю добавить в СЕРВИС новый пункт (если возможно)
“Драйвера устройств не Plug in Play” ( - это есть в диспетчере устройств)
чтоб можно было на время отключить из самой AVZ, некоторые активные драйвера с функцией перехвата.

3)
РЕВИЗОР….
В конце, при создании баз не пишет.. что процесс анализа и сбора информации завершен
(не совсем понятно, в низу есть “прогресс” видно что перебирает папки и файлы – но
в конце без сообщения могут подумать что утилита зависла)





______Да в корректном отображении (писалось выше) тоже есть незначительные мелочи:
(Может это связанно с индивидуальными настройками размера шрифтов в Винде!?)


1)
ФАЙЛ > Просмотр папки infected (так же просмотр карантина)
названия кнопок (сверху) вылезают за приделы их границ.

2)
ФАЙЛ > ИСЛЕДОВОВАНИЕ СИСТЕМЫ >
Downloaded program files (DPF)
Немножко не корректно размещён “свежедобавленный” пункт

3)
(режим “Спросить у пользователя”)
При обнаружении зверя… всплывшее окно AVZ выводится не в полный размер а с полосой прокрутки (по вертикали и горизонтали)

4)
СПРАВКА > О ПРОГРАММЕ
Там описание утилиты, выровнено НЕ совсем по ЦЕНТРУ если смотреть от краёв окна
(так мелочь небольшая ;))

MOCT
12.08.2006, 09:51
"Имя файла содержит национальные символы" - проверка идет по всему пути, т.е. если в имени папки содержится русский текст, а в имени файла нет, то тоже выдается такое сообщение.

Более разумно проверять русские символы только в имени и расширении имени файла, а не в полном пути. Потому что пользователи часто ставят софт в папки типа "C:\Программы", что приводит к большому числу вот таких предупреждений.

Либо, как вариант, проверять и название каждой папки в отдельности (!). Но выдавать сообщение только в том случае, если присутствуют и русские, и латинские символы вперемешку.

Зайцев Олег
12.08.2006, 10:56
to MOCT
Логично, вношу в список доработок
to Cool Cat
1. Проверку портов можно по умолчанию отключить (из крипта ее нетрудно включить при необходимости)
2. Это сделать можно, но в большинстве случаев не поможет. Причина - драйвера перехватчики устанавливаются чем-то, и это что-то столь же легко переустановит отключенный драйвер
3. Сообщение я обязательно добавлю
-------
С выравниванием и вылезанием за границу текста я проверю, вполне возможны глюки.
to Scitalec
Какой-то похожий файл приходил, но ничего опасного в нем не нашлось (его или KAV вылечил, или подозрение было ложное). Если KAV продолжает на него ругаться, можно еще раз прислать - на [email protected] (если посылать файл через страничку, то его заберет на анализ автоматика)

Xen
12.08.2006, 16:11
Уже в который раз предлагаю убрать проверку на открытые порты. Время старых добрых троянцев-listener'ов прошло :-) А сообщения о потенциальных угрозах, бывает, только пугают юзеров.

Poul
13.08.2006, 20:48
У меня Dial Up. Пассворд очень сложный. Для дозвона я использую Dialer 2000. Он определяется как вирус. Что делать? Вводить пассворд каждый раз мне лень. В принципе у меня ума хватит самому написать программу дозвона только подскажите как, или можно испльзовать эту Dialer 2000.(cамая старая что нашел). Спасибо

pig
13.08.2006, 21:23
Для дозвона я использую Dialer 2000. Он определяется как вирус.
Кем? Если AVZ, то посетите http://virusinfo.info/index.php?page=upload_clean.

Scitalec
16.08.2006, 10:34
В процессе работы AVZ обнаружил перехваченные функции
Функция ZwTerminateProcess (101) перехвачена (80591C32->EDBE0330), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
>>> Функция воcстановлена успешно !
Функция ZwWriteVirtualMemory (115) перехвачена (8058FF6C->EDBE0290), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
>>> Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 2, восстановлено: 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\System32\ocmapihk.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\System32\ocmapihk.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
Все эти фуекции не опасны - это всего лишь модули файрвола Agnitum Outpost 3.5
Странно не это, такое бывает - файрволл действительно перехватывает некоторые процессы, дабы взять под контроль все уязвиимые места системы.
Но... AVZ восстанавливает эти процессы, а Outpost не выдает никаких сообщений, более того, если сразу запустить тестирование заново, снова AVZ найдет и исправит эти перехваты. А это означает, что AVZ не может восстановить систему в этом случае. А что может "хорошая программа, то сможет и вредоносная... Более того, если запустить AVZGuard, то AVZ сначала зависает, а затем просто вылетает. Причем в списке процессов остается ее процесс. При попытки принудительного завершения работы вся система виснет... Вот так...
На всякий случай, я отправил сегодня вам на исследование все собранные в карантин файлы и отчет о сканировании.

Зайцев Олег
16.08.2006, 12:27
Если это так, что по всей видимости FILTNT.SYS стал восстанавливать свой перехват по таймеру ... по принципу "или я, или синий экран" :) В этом случае причина глюков с AVZGuard вполне понятна.
Уточнение:
А о какой версии AVZ и Outpost идет речь ? В версии 3.51 AVZ спокойно снимает перехваты, они не восстанавливаются и Guard совместо с Outpost нормально работают.

Grey
16.08.2006, 14:20
Зайцев Олег
Раньше не было необходимости, так и не обращал внимания...
Но не запоминаются установки для прокси при обновлении, а именно точно проверил, что не запоминается не прокси, ни порт, ни режим работы. Все время сбрасывается на "настройки IE"
Версия сабжа 4.19.0.10 Рус и 4.19.0.11 Анг

*Cool Cat
16.08.2006, 14:32
Писал выше:
“Драйвера устройств не Plug in Play”
( - это есть в диспетчере устройств)

Scitalec:
В ранних версиях FILTNT.SYS детектировался дис. устройств
- если он там есть отключите драйвер
и проверте работу AVZ

у меня стояли v5.51 (3 разных сборки)
таких проблем ненаблюдалось
???
скорее всего это v4.0
так как он там. говорят навароченный...
там и проактивка и тд.

Scitalec
18.08.2006, 11:18
У меня AVZ последней версии с вчерашним обнавалением баз, а Outpost4.0.916.6727
Да, и теперь Kaspersky Antivirus 2006 детектит AVZ как руткит

*Cool Cat
18.08.2006, 12:48
[censored] :)
Я ошибся
НЕ
стояли v5.51 (3 разных сборки)
А
стояли v3.51 (3 разных сборки)

Scitalec:
1. отключи Outpost
2. отключи автозапуск службы Outpost
3. удали драйвер FILTNT.SYS
путь:\Program Files\Agnitum\Outpost Firewall\Kernel
в корзину
(потом есле надо востановиш из корзины)
4. ocmapihk.dll тоже удали
5. Перезагрузка системы
6. Проверь работу AVZ
Если всё ОК то конфликт с Outpost

Зайцев Олег
21.08.2006, 16:50
Сегодня поступило сообщение, что DrWeb опять начал детектить AVZ. На сей раз русскую версию, детект пошел после обновления от 20.08, детектирует AVZ.EXE в архиве как DLOADER.Trojan ... :( У кого есть DrWeb с ежедневным обновлением, прошу проверить - так ли это. Если так, то это уже не смешно ...

Shu_b
21.08.2006, 17:45
Сегодня поступило сообщение, что DrWeb опять начал детектить AVZ.Нет, на 4.19.0.10ru/4.19.0.11enu эвристик не срабатывает (база 136345 в.з.).

pig
21.08.2006, 17:47
У меня не детектирует. Русская версия AVZ, скачана 28 июля в 17:59

Exxx
21.08.2006, 18:15
4.19.0.10 RUS у меня не детектируется.
Последнее обновление баз вэба 2006-08-21 (18:14).

Зайцев Олег
21.08.2006, 18:25
Спасибо за проверку. Я тоже проверил на virustotal и свежим CureIt - не детектируется. Мне сообщали, что детект появился 20.08, видимо в базе от 21.08 он был уже устренен.

*Cool Cat
23.08.2006, 13:13
странно!?

у меня не детектируется

v.3.33.1
Базы: 20.08
Записей: 135693

_________

Только папки Карантин и Инфекция
если та что есть - то естественно
детектит тока "ругается" другими словами
(Нужно исключять из скана Веба)

XL
27.08.2006, 21:14
Есть такой червь - maslan.b с User mode руткитом на борту. Так вот с ним существует одна бяка. Если включить avz guard и попытаться завершить маскируемые червем процессы в памяти через менеджер процессов AVZ, то AVZ выдает какой-то эррор (детали уже не помню), связанный с доступом к файлу и повторяет этот эррор после нажатия на cancel циклически. Т.е. ошибка висит постоянно пока работает менеджер процессов AVZ. А переключиться из менеджера процессов в главное окно AVZ уже нет возможности, как и нет возможности завершить работу менеджера процессов.
Такая ситуация бывала не только с maslan, но и с некоторыми вариантами haxdoor, разве что код ошибки вроде другой возникал...
Теперь к сути пожелания: было бы здорово в случае описанной выше проблемы иметь возможность переключиться в главное окно AVZ, чтобы отключить AVZ guard или иметь возможность это сделать другим образом (из встроенных в AVZ средств мониторинга). Ибо нет ничего хуже зависшего AVZ с включенным AVZ guard...сами понимаете - почему. Приходится перезагружаться и терять время, начиная все по новой.

Код ошибки могу точно посмотреть при случае, если есть в этом необходимость. Да и лог от пребывания червя в системе могу предоставить. Правда, не сразу.

Alexey P.
28.08.2006, 04:33
Олег, господа буржуи очень просят ангельский хелп.
В частности, очень просит вот этот господин:
Mr. David H. Lipman
DLipman at Verizon.Net
David_H_Lipman at Yahoo.Com
(Знакомая фамилия, много раз приходилось видеть его посты в антиспайварных форумах)

Зайцев Олег
28.08.2006, 10:27
=XL=
Это явный баг и его нужно отловить. maslan.b, на котором он проявляется, сохранился ? Если да, то тогда я могу воспроизвести ситуацию и поймать баг. Если нет, то полезно все остальное - код ошибки, логи ...
to Alexey P.
Хелп в 4.20 будет включен, можно и раньше - я не против, если отдать и черновой вариант - он на нашем FTP лежит

Alexey P.
28.08.2006, 19:51
Угу, насчет хелпа - спасибо, передал.
Этот баг точно есть на haxdoor, встречал на старых.
Сейчас стал пробовать на новом - он, гадюка, вообще закрывает всю AVZ при попытке выгрузить маскируемый процесс виндового explorer-а.

XL
28.08.2006, 22:19
maslan на домашнем компе где-то валялся, пришлю! правда, он у меня в разобранном виде по-моему (уже проинсталенный в system32 в виде нескольких файлов), хотя могу ошибаться. Давно его уже у себя не культивировал. Тут админы на три дня нетбиосные порты между сегментами сети по недосмотру на циске нечаянно открыли, вот и понеслась дремавшая радость по городам и селам... =)
глупый вопрос в качестве оффтопа - а зачем Haxdoor'у маскировать виндусовый эксплорер?

Alexey P.
28.08.2006, 22:28
А у него модуль троянский внедрен, плюс в винлогон нотифайером.


1. Searching for rootkits and programs that intercept API functions
1.1 Searching for user-mode API hooks
Analysis kernel32.dll, export table found in section .text
Analysis ntdll.dll, export table found in section .text
Function ntdll.dll:LdrLoadDll (70) intercepted, method APICodeHijack.JmpTo
Analysis user32.dll, export table found in section .text
Analysis advapi32.dll, export table found in section .text
Analysis ws2_32.dll, export table found in section .text
Analysis wininet.dll, export table found in section .text
Function wininet.dll:InternetConnectA (229) intercepted, method APICodeHijack.JmpTo
Analysis rasapi32.dll, export table found in section .text
Analysis urlmon.dll, export table found in section .text
Analysis netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver is successfully loaded
SDT found (RVA=082B80)
Kernel ntoskrnl.exe located in the memory at the address 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Function ZwCreateProcess (2F) intercepted (805B3543->F9DEB5D1), hook C:\WINDOWS\system32\seppgm.sys
Function ZwCreateProcessEx (30) intercepted (805885D3->F9DEB715), hook C:\WINDOWS\system32\seppgm.sys
Function ZwOpenProcess (7A) intercepted (8057459E->F9DEB356), hook C:\WINDOWS\system32\seppgm.sys
Function ZwOpenThread (80) intercepted (80597C0A->F9DEB2EB), hook C:\WINDOWS\system32\seppgm.sys
Function ZwQueryDirectoryFile (91) intercepted (80574DAD->F9DEB3CF), hook C:\WINDOWS\system32\seppgm.sys
Function ZwQuerySystemInformation (AD) intercepted (8057CC27->F9DEB977), hook C:\WINDOWS\system32\seppgm.sys
Functions checked: 284, intercepted: 6, restored: 0
>>>> Process masking is detected 1780 c:\windows\explorer.exe
2. Scanning the memory
Processes found: 19
Modules loaded: 204
Memory check completed
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors have been detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\seppgs.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\seppgs.dll>>> Behavioral analysis:
Typical for keyloggers behaviour is not registered
C:\Program Files\VMware\VMware Tools\hook.dll --> Suspicion for a Keylogger or Trojan DLL
C:\Program Files\VMware\VMware Tools\hook.dll>>> Behavioral analysis:
1. Reacts to events: keyboard, mouse, window events
C:\Program Files\VMware\VMware Tools\hook.dll>>> Neural network: file with probability 99.91% appears like a typical keyboard/mouse events trap
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hook DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
In the database 319 port description
Opened on this PC 7 TCP ports and 9 UDP ports
>>> Pay attention: Port 16661 TCP - Backdoor.Haxdor.o ()

VMware Tools\hook.dll - это и должно быть, остальное haxdoor-а работа.

AndreyKa
28.08.2006, 22:39
Может я что-то пропустил, но мне не понятно почему при попытке выполнить скрипт, сформированные на странице "исследования системы" выдается ошибка типа:
---
Ошибка скрипта: Undeclared identifier: 'DeleteFile', позиция [4:12]
---
в том случае, если были заданны файлы для удаления. Например:
---
DeleteFile('c:\test.txt');
---

P.S. Кстати, пробежал глазами английский вариант справки AVZ. Там на странице General Information - Technical support как и в русском варианте говорится о разделе Помогите на этом сайте. То, что ссылка дана через слова "UNREGISTERED EVALUATION VERSION", наверное, получилось не нарочно. :) Но смогут ли в принципе англоязычные товарищи хотя-бы зарегестрироваться на сайте? Есть ли вообще смысл упоминать его в переводе?

Alexey P.
28.08.2006, 22:45
Что-то не нашел - а удалить отложенным способом известные мне, но невидимые из поиска файлов в AVZ файлы никак нельзя ?
Как в Avenger-е - вводишь для него скрипт с указанием имен файлов, перезагружаешься и ладушки.

ЗЫ: Файлы для этого haxdoor я вижу в отчете adinf32, а вот удалить их из AVZ не могу. Видимо, надо Avenger.

Alexey P.
28.08.2006, 22:47
Сюда можно писать и без регистрации.

Зайцев Олег
28.08.2006, 23:07
Угу, насчет хелпа - спасибо, передал.
Этот баг точно есть на haxdoor, встречал на старых.
Сейчас стал пробовать на новом - он, гадюка, вообще закрывает всю AVZ при попытке выгрузить маскируемый процесс виндового explorer-а.
Да, я изучил новый Haxdoor - он детектирует AVZ и блокирует загрузку его драйвера. Плюс убиение процесса, пытающегося что-то сделать с маскируемыми процессами. Новый антируткит AVZ его давит без проблем, он войдет в версию 4.20.
to AndreyKa
DeleteFile не поддерживается в 4.19, это мой недосмотр... Просто в генератор в HTML логе я внес эту команду, а в публичный скрипт-движок - забыл. А левая подпись на ссылке virusinfo - это кривизна сборки хелпа, я исправлю ее. Просто хелп собирался не мной, и применялась триальная версия редактора - вот отсюда и глюки

Зайцев Олег
28.08.2006, 23:09
Что-то не нашел - а удалить отложенным способом известные мне, но невидимые из поиска файлов в AVZ файлы никак нельзя ?
Как в Avenger-е - вводишь для него скрипт с указанием имен файлов, перезагружаешься и ладушки.

ЗЫ: Файлы для этого haxdoor я вижу в отчете adinf32, а вот удалить их из AVZ не могу. Видимо, надо Avenger.
Можно - вставить файл в текстовое поле в диалоге выбора файла. Кстати, диалог отложенного удаления в 4.20 я перелаю - вместо системного диалога будет свой, с полем ввода любого умени файла вручную.

Alexey P.
28.08.2006, 23:26
Можно - вставить файл в текстовое поле в диалоге выбора файла.
Пробовал - пишет, что файл не найден. Угу, но я-то знаю - он есть.



Кстати, диалог отложенного удаления в 4.20 я перелаю - вместо системного диалога будет свой, с полем ввода любого имени файла вручную.
Угу, хорошо. И пусть тогда не проверяет наличие файла, просто запишет в отложенное удаление и все. Ничего страшного в этом вроде не предвидится.

Alexey P.
29.08.2006, 01:45
Немного юмора - AVZ, оказывается, умудряется собирать данные с GoldSpy на зараженной машине:


5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\pasksa.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\pasksa.dll>>> Behavioral analysis:
Typical for keyloggers behaviour is not registered
C:\WINDOWS\system32\obbf115.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\obbf115.dll>>> Behavioral analysis:
1. Reacts to events: keyboard
2. Passes data to the process: 364 C:\avz4\avz.exe (window = "Antivirus utility. Zaytsev Oleg, 2003 -2006")
3. Works with the file: \\.\obbf117
4. Works with the file: c:\windows\system32\obbf115.dll
5. Works with the file: c:\windows\system32\drivers\dxr7.is49
6. Works with the file: c:\windows\system32\dx0.is49
7. Works with the file: c:\windows\system32\drivers\dxr8.is49
8. Works with the file: \\.\obbf117
9. Works with the file: c:\windows\system32\obbf115.dll
10. Works with the file: c:\windows\system32\drivers\dxr7.is49
11. Works with the file: c:\windows\system32\dx0.is49
12. Works with the file: c:\windows\system32\drivers\dxr8.is49
13. Determines the window that has the input focus
14. Polls the keyboard state
15. Polls active keyboard layout
16. Polls the key name
17. Determines ASCII codes by key codes
C:\WINDOWS\system32\obbf115.dll>>> Neural network: file with probability 1.65% appears like a typical keyboard/mouse events trap
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hook DLLs

Явно тырит награбленное у разбойников :). Али-Баба.

MedvedD
29.08.2006, 11:22
Глюк АВЗ ? Исследовал ноутбук, нашёл вот этот руткит - http://virusinfo.info/showpost.php?p=78465&postcount=94
удалил, но остался странный модуль пространства ядра из прилагаемого avz_sysinfo - у него нет файла, нет имени, но есть длинна.
Это не остатки ли руткита?

Зайцев Олег
29.08.2006, 12:22
Глюк АВЗ ? Исследовал ноутбук, нашёл вот этот руткит - http://virusinfo.info/showpost.php?p=78465&postcount=94
удалил, но остался странный модуль пространства ядра из прилагаемого avz_sysinfo - у него нет файла, нет имени, но есть длинна.
Это не остатки ли руткита?
Это который по базовому адресу F8704000, вместо имени прочерк, размер в памяти 98304 байт ? Да, это странный модуль - модуль в памяти есть, а имени у него нету ... (это длина занимаемой области памяти, а не файла на диске). Варианты такие:
1. Глюк AVZ
2. В списке видно два драйвера от StarForce - может, это они шалят
3. C:\WINDOWS\System32\drivers\EABFiltr.sys - тоже не понятно, что за зверь (клавиатурный фильтр ?)
4. В исследовании можно выбрать "показывать все службы и драйверы" - может быть, тогда всплывет информация о звере

drongo
29.08.2006, 13:20
Олег , я тут посмотреть решил ревизор диска твой . не работает . Создаёт файл , однако когда жмёшь на проверку , говорит ошибка , файла нет (указывает путь к файлу , но его не видит .)
Версия английская .4.19

Зайцев Олег
29.08.2006, 13:40
Олег , я тут посмотреть решил ревизор диска твой . не работает . Создаёт файл , однако когда жмёшь на проверку , говорит ошибка , файла нет (указывает путь к файлу , но его не видит .)
Версия английская .4.19
Должен видеть - в поле File нужно указать полное имя FRZ файла (т.е. типа C:\avz4en\Revizor\2006-08-29.frz). Тогда все должно сработать ... (выбор файла производится при нажатии кнопки в поле ввода имени файла, по умолчанию в этом поле только путь по умолчанию)

aintrust
29.08.2006, 14:04
Это который по базовому адресу F8704000, вместо имени прочерк, размер в памяти 98304 байт ? Да, это странный модуль - модуль в памяти есть, а имени у него нету ... (это длина занимаемой области памяти, а не файла на диске). Варианты такие:
1. Глюк AVZ
Нет, это не глюк, его все утилиты так "показывают". ;) Это на самом деле драйвер atapi.sys (если мне не изменяет память).



3. C:\WINDOWS\System32\drivers\EABFiltr.sys - тоже не понятно, что за зверь (клавиатурный фильтр ?)
Ага, именно клавиатурный фильтр от какой-то из поставляемых вместе с ноутом утилит от HP (ведь речь идет о ноуте, насколько мне помнится?). Да, уточнил - действительно, это компонента утилиты 'Quick Launch Buttons'.

PS. Кстати, информацию о ...\System32\Drivers\dump_atapi.sys и ...\System32\Drivers\dump_WMILIB.SYS тоже, видимо, не стоит показывать пользователю в неопознанных "Модулях простанства ядра" - это ведь на самом деле ...\System32\Drivers\atapi.sys и ...\System32\Drivers\WMILIB.SYS соответственно.

MedvedD
29.08.2006, 17:57
aintrust, Олег - спасибо за разьяснения. Это, видимо, DaemonTools так блокирует atapi.sys ? Дома проверю на Алкоголь 120 %, может это так и есть.
А про dump_ драйверы - это полезное уточнение, тоже спасибо.

Беляк
29.08.2006, 20:12
Почему бы не добавить файлы касперского (klif.sys и др. муть) в "зеленый" список?

Зайцев Олег
29.08.2006, 21:03
Почему бы не добавить файлы касперского (klif.sys и др. муть) в "зеленый" список?
Причина проста - их никто не присылает :) Контроль идет по полной контрольной сумме и размеру, поэтому для помещения файла в базу чистых нужно как минимум прислать образец на анализ, на virusinfo есть специальный сервис для этого ...

Зайцев Олег
29.08.2006, 21:09
Кстати, о чистых файлах - у меня появляется возмножность забрать по HTTP пару гигабайт, так что если откомплектовать образцов для базы зверей и базы чистых, то я смогу их утащить

Xen
30.08.2006, 12:27
у меня появляется возмножность забрать по HTTP пару гигабайт



В Саратове так тяжко с интернетом?

Sel
30.08.2006, 12:28
А как с проблемой во вкладке обновления, каждый раз приходиться входить в настройки и указывать тип соединения, оно почему-то не сохраняется, все время возвращается к "Использовать настройки IE"

Зайцев Олег
30.08.2006, 12:51
В Саратове так тяжко с интернетом?

А причем тут Саратов ? :) В Смоленске Инет только по модему или по ADSL, цена порядка 0.10$ за мегабайт. Соответственно 1 ГБ = 0.1*1024 = 102$ ... 2 ГБ - соответственно 200$. Вот такая арифметика ...

Surfer
31.08.2006, 15:40
Здравствуйте Олег , я недавно послал вам ложные детекты/подозрения.
Теперь из 19 AVZ находит 11 :)

MedvedD
31.08.2006, 16:51
По поводу базы чистых файлов - пытался закачать файл в 6 мегабайт размером - не приняло, просто сдохло в процессе заливки.. :(

Зайцев Олег
31.08.2006, 18:27
Здравствуйте Олег , я недавно послал вам ложные детекты/подозрения.
Теперь из 19 AVZ находит 11 :)
Я помню - просто я устранил наиболее явные, остальные уйдут в ближайшее время после обновления версии AVZ (сигнатуры размазаны по всем файлам main*.avz, я просто не хочу их массово модифицировать).

Зайцев Олег
03.09.2006, 12:14
Олег, господа буржуи очень просят ангельский хелп.
В частности, очень просит вот этот господин:
Mr. David H. Lipman
DLipman at Verizon.Net
David_H_Lipman at Yahoo.Com
(Знакомая фамилия, много раз приходилось видеть его посты в антиспайварных форумах)
Еще один момент к вопросу о хелпе - появилась в продаже моя книга на английском, называется "Rootkits, Spyware/Adware, Keyloggers and Backdoors: Detection and Neutralization", ISBN = 1931769591 (см. ссылки (http://www.google.com/search?ie=UTF-8&hl=ru&q=%52%6F%6F%74%6B%69%74%73%2C%20%53%70%79%77%61%72 %65%20%2F%20%41%64%77%61%72%65%2C%20%4B%65%79%6C%6 F%67%67%65%72%73%2C%20%61%6E%64%20%42%61%63%6B%64% 6F%6F%72%73%3A%20%44%65%74%65%63%74%69%6F%6E%20%61 %6E%64%20%4E%65%75%74%72%61%6C%69%7A%61%74%69%6F%6 E%20)), там есть пара глав про AVZ и исследование системы с его помощью и про применение скриптового движка для автоматизации операций проверки и анализа системы. Книга повсеместно появилась вчера в буржуйских магазинах. Со дня на день появится в продаже русский вариант у нас.

MOCT
03.09.2006, 14:27
Еще один момент к вопросу о хелпе - появилась в продаже моя книга на английском, называется "Rootkits, Spyware/Adware, Keyloggers and Backdoors: Detection and Neutralization", ISBN = 1931769591

Книга повсеместно появилась вчера в буржуйских магазинах. Со дня на день появится в продаже русский вариант у нас.
поздравляю!
в России англоязычный вариант будет?

Зайцев Олег
03.09.2006, 14:41
поздравляю!
в России англоязычный вариант будет?
спасибо. Насчет англоязычного варианта в России - не знаю, может и будет - но в любом случае раз она есть на amazon, то заказать ее можно.

MOCT
03.09.2006, 16:56
Насчет англоязычного варианта в России - не знаю, может и будет - но в любом случае раз она есть на amazon, то заказать ее можно.
"за морем телушка полушка, но рубль - перевоз"

Xen
04.09.2006, 07:34
То есть не в Саратове, а в Смоленске, конечно. Сорри.

С релизом книги - поздравляю! По себе знаю, что очень приятное событие... =) буду рефрешить содержимое прилавков книжных магазинов =))

Зайцев Олег
04.09.2006, 08:21
То есть не в Саратове, а в Смоленске, конечно. Сорри.

С релизом книги - поздравляю! По себе знаю, что очень приятное событие... =) буду рефрешить содержимое прилавков книжных магазинов =))
Спасибо !. Я сделал отдельную тему с описанием книги - см. http://virusinfo.info/showthread.php?p=78671

Sel
04.09.2006, 11:32
Прочитал сегодня статью как поймать руткит там и про AVZ написано http://www.anti-malware.ru/index.phtml?part=survey&surid=rootkits#part3

Зайцев Олег
04.09.2006, 14:48
Прочитал сегодня статью как поймать руткит там и про AVZ написано http://www.anti-malware.ru/index.phtml?part=survey&surid=rootkits#part3
Ага - это копия вот этой статьи, мы ее немного обсуждали тут: http://virusinfo.info/showthread.php?t=6115

*Cool Cat
04.09.2006, 20:18
_________На счёт не коректного отображения!

Если зайти в "Свойства: Экран"
и изменить первоначальные настройки, в:

1)в вкладке "Оформление"
пункты
* "Окна и кнопки:"
* "Размер шрифта:"

2)в вкладке "Параметры"
> кнопка "Дополнительно" > вкладка "Общие"
пункт
* "Масштаб (количество точек на дюйм):"
____________________
При изменении этих трёх пунктов, и получается глюк с отображением, так как вид у AVZ классического формата (так.сказ. Win98)…, что же тут плохого казалось бы… да вроде бы и нечего, но если смотреть с точки зрения 15 дюймовых ЖК панелей (напр. Ноутбука), не менять эти 3 пункта казалось бы странным (иначе глаза сломаем).
А что касается пункта * "Окна и кнопки:", я думаю, такие проблемы в AVZ могут быть и у людей любящие украшать свою Винду через специальные программки.
:)

Олег поздравляю!!!
с выходом книги, желаю дальнейшего развития, всех твоих проектов.

Surfer
07.09.2006, 18:26
Кстати к вопросу о хелпе , я думаю CHM намного лучше hlp - и меньше весит и не создаёт файлов GID/FTS/ANN

Зайцев Олег
08.09.2006, 15:18
Кстати к вопросу о хелпе , я думаю CHM намного лучше hlp - и меньше весит и не создаёт файлов GID/FTS/ANN
Я думал сделать справку в CHM, но у AVZ куча пользователей, работающих под 9X - там с CHM будут проблемы. Я могу выложить CHM-справку как опциональный файл для загрузки (а сам AVZ научить искать и HLP, и CHM)

Зайцев Олег
08.09.2006, 15:19
Олег поздравляю!!!
с выходом книги, желаю дальнейшего развития, всех твоих проектов.
Спасибо !
По поводу глюков с отображением - я поэкспериментирую с различными размерами шрифтов, чтобы поймать глюки.

Surfer
08.09.2006, 18:48
Я думал сделать справку в CHM, но у AVZ куча пользователей, работающих под 9X - там с CHM будут проблемы. Я могу выложить CHM-справку как опциональный файл для загрузки (а сам AVZ научить искать и HLP, и CHM)

Хмм , по идее не должно..
Вроде там нужен только IE 4 - неужели кто-то до сих пор сидит за третим ? :D

NickGolovko
08.09.2006, 20:20
Олег, здравствуйте.. возможно, уже был вопрос, но я лично не нашел. :) Нет ли в планах монитора?

NickGolovko
09.09.2006, 08:04
И еще хотел бы спросить: почему AVZ не видит SoftForYou Keylogger как Keylogger (и к тому же не видит его библиотеки при сканировании папки с ними)?

AndreyKa
09.09.2006, 10:30
И еще хотел бы спросить: почему AVZ не видит SoftForYou Keylogger как Keylogger (и к тому же не видит его библиотеки при сканировании папки с ними)?
Видеть то видит но не узнает. :) Скорее всего, так как Олегу его еще никто не прислал.
PS. Как я понял, речь об этом:
http://www.free-keylogger.com/php_dir/download/klg.exe

Зайцев Олег
09.09.2006, 13:43
Видеть то видит но не узнает. :) Скорее всего, так как Олегу его еще никто не прислал.
PS. Как я понял, речь об этом:
http://www.free-keylogger.com/php_dir/download/klg.exe
Этот вроде определяется:

C:\WINDOWS\system32\sfklg.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\sfklg.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события, все события
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиатуры
4. Опрашивает активную раскладку клавиатуры
5. Определяет ASCII коды по кодам клавиш
C:\WINDOWS\system32\sfklg.dll>>> Нейросеть: файл с вероятностью 99.50% похож на типовой перехватчик событий клавиатуры/мыши

NickGolovko
09.09.2006, 15:17
Мгм. Странно, у меня не видит (4.19 rus) :?

Или вы по 4.20 проверяете?

Зайцев Олег
09.09.2006, 15:28
Мгм. Странно, у меня не видит (4.19 rus) :?

Или вы по 4.20 проверяете?
Нет - я проверял тот файл по ссылке из поста №105. На него реагирует 4.19 и в исследовании системы эта DLL видна в адресном пространстве всех GUI процессов. Может быть, этот кейлоггер не активен или мы говорим о разных кейлоггерах ?

NickGolovko
10.09.2006, 05:12
Библиотека та самая, sfklg.dll или что-то в этом роде. Хмм.. В понедельник попробую воспроизвести в немного других условиях..

Sel
12.09.2006, 10:18
Можно ещё одно предложение. нельзя ли сделать кнопку обновление на основную панель, чтобы каждый раз не заходить в панель задач. Спасибо.

Surfer
12.09.2006, 14:19
Заметил ОЧЕНЬ неприятный баг - если AVZ в трее и уровень проверки на максимуме , то при проверке может бесконечно разворачиваться/сворачиваться текущее окно (например Firefox начинает разворачиваться на полный экран - что-то вроде кнопки F11)

Зайцев Олег
12.09.2006, 15:07
Заметил ОЧЕНЬ неприятный баг - если AVZ в трее и уровень проверки на максимуме , то при проверке может бесконечно разворачиваться/сворачиваться текущее окно (например Firefox начинает разворачиваться на полный экран - что-то вроде кнопки F11)
В 4.20 его уже не будет ... это связано с поведенческим антикейлоггером, в частности с эмуляцией клавиатурного ввода. 4.20 ожидается в ближайшее время - я все сдвигаю сроки выхода новой версии, так как новшеств там много и я хочу оттестировать ее как следует.

MedvedD
12.09.2006, 15:08
Заметил ОЧЕНЬ неприятный баг - если AVZ в трее и уровень проверки на максимуме , то при проверке может бесконечно разворачиваться/сворачиваться текущее окно (например Firefox начинает разворачиваться на полный экран - что-то вроде кнопки F11)
Видел такое два раза, но повторить не смог.

Зайцев Олег
12.09.2006, 15:08
Можно ещё одно предложение. нельзя ли сделать кнопку обновление на основную панель, чтобы каждый раз не заходить в панель задач. Спасибо.
Можно - я добавлю такую кнопку (если конечно я найду подходящую иконку для нее :) )

Беляк
12.09.2006, 20:23
Если Вы планируете создать монитор, то голосую за возможность создавать список каталогов/файлов для защиты их от открытия них, удаления, копирования и т.п. Чтобы вирус с ними ничего не смог сделать, ну и для злодеев всяких препятствие.

Зайцев Олег
13.09.2006, 09:03
Если Вы планируете создать монитор, то голосую за возможность создавать список каталогов/файлов для защиты их от открытия них, удаления, копирования и т.п. Чтобы вирус с ними ничего не смог сделать, ну и для злодеев всяких препятствие.
Монитор и проактивка планируются, есть пара опытных вариантов (кстати, собственно AVZ Guard и есть урезанный прототип монитора - просто вместо принятия решения разрешить/запретить там жестко приписано "запретить все и всем").

anton_dr
13.09.2006, 09:06
anton_dr
Я подготовил небольшой тестер, завтра-послезавтра скину на него ссылочку - он качает файл размером 20 байт с моего сайт различными методами, на нем и откатаем глюки с обновлением через прокси
Вернемся к нашим баранам ? :)

Shu_b
13.09.2006, 12:09
Вернемся к нашим баранам ? :)
присоединяюсь, так же могу потестить на доступ через ISA c NTLM

Зайцев Олег
13.09.2006, 14:32
присоединяюсь, так же могу потестить на доступ через ISA c NTLM
Сделаю, сделаю ...

Зайцев Олег
13.09.2006, 14:38
Вышла новая версия AVZ - 4.20


13.09.2006 Архив с утилитой содержит базу вирусов от 13.09.2006 41561 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 359 микропрограмм эвристики, 51541 подпись безопасных файлов
Список доработок и модификаций:
[++] Новый менеджер - "Менеджер апплетов панели управления (CPL)". Подключен к автокарантину и исследованию системы
[++] Новая подсистема AVZ - прямое чтение диска. Позволяет сканеру AVZ проверять заблокированные файлы. Эта подсистема
подключена к карантину, что позволяет капировать заблокированные файлы в карантин
[++] Kernel-Mode код AVZ перемещен в AV базу, что позволяет обновлять его без обновления самого AVZ. Драйвера устанавливаются в систему только по мере необходимости, причем имя драйвера уникально для каждого ПК. В момент закрытия AVZ драйвера автоматически удаляются.
[++] Антируткит - подавление перехватчиков KiST, обладающих средствами восстановления перехвата
[++] Антируткит - проверка и восстановление таблицы IAT процесса AVZ
[++] Антируткит - проверка таблицы прерываний (в рамках каждого из процессоров)
[++] Антируткит - проверка и восстановление SYSENTER (в рамках каждого из процессоров)
[++] Проверка содержимого MSI инсталляций и объектов, хранящихся в OLE контейнерах (документах, базах Access, презентациях)
[+] Передалан диалог отложенного удаления файла
[+] Новые команды скриптового языка: удаление каталогов и файлов
[+] Множество мелких доработок и модификаций

Новая версия не совместима по базам с 4.xx, поэтому старые версии нужно обновить до 4.20

Exxx
13.09.2006, 14:49
При распаковке архива Dr.Web выдал:

...Temp\Rar$DR01.875\avz4\avz.exe - , возможно, инфицирован DLOADER.Trojan

anton_dr
13.09.2006, 14:50
Вышла новая версия AVZ - 4.20
А скачать это счастье можно как обычно, с сайта Олега
http://z-oleg.com/secur/avz/download.php

Зайцев Олег
13.09.2006, 15:13
При распаковке архива Dr.Web выдал:

...Temp\Rar$DR01.875\avz4\avz.exe - , возможно, инфицирован DLOADER.Trojan
В суд что-ли на них подать ? :) А на какой вариант он ругается - на русский или на английский вариант ?

Exxx
13.09.2006, 15:13
В суд что-ли на них подать ? :) А на какой вариант он ругается - на русский или на английский вариант ?
На русский http://www.virustotal.com/vt/en/resultadof?b8dea2e91f0a381dc0a9c47818ac205a

Сейчас проверил, он и про английскую версию тоже самое выдаёт:
"...\avz4en\avz.exe - , возможно, инфицирован DLOADER.Trojan"

Зайцев Олег
13.09.2006, 15:50
Надоели они мне ... неужели в собственно вирлабе порядок навести не могут, это же уже далеко не первая итерация .... Вот мое письмо в их саппорт:


Добрый день !

Разберитесь пожалуйста с ложными срабатываниями Вашего антивируса. Срабатывания идет на антивирусную утилиту AVZ, я являюсь ее автором. У данного продукта десятки тысяч пользователей и ложное срабатывание Вашего продукта приводит к шквалу писем в техническую поддержку.

Пример проверки для версии 4.20 - http://www.virustotal.com/vt/en/resultadof?b8dea2e91f0a381dc0a9c47818ac205a (http://www.virustotal.com/vt/en/resultadof?b8dea2e91f0a381dc0a9c47818ac205a)
Сайт утилиты - http://z-oleg.com/secur/avz/ (http://z-oleg.com/secur/avz/)

Это срабатывания далеко не первое и уже выработалась пагубная тенденция - по идее неплохо бы дать сообщение о ложном срабатывании на Вашем сайте, поскольку я получил только сегодня более сотни писем с недоуменными вопросами, и разобраться наконец с данной "эвристикой".

Самое пакостное в том, что народ сейчас обновляет версию и посыпался настоящий шквал вопросов, уведомлений, ругательств ... Интересно, что они ответят и ответят ли вообще.

MOCT
13.09.2006, 16:14
Самое пакостное в том, что народ сейчас обновляет версию и посыпался настоящий шквал вопросов, уведомлений, ругательств ... Интересно, что они ответят и ответят ли вообще.
в суд надо подавать. за подрыв деловой репутации.

MacHine
13.09.2006, 16:31
Всем добрый день!
Сегодня (13/09 17:30) решил обновить базу AVZ (версия 4.18), мне в ответ нужно обновить сам AVZ до версии 4.20. Захожу на сайт, а в разделе "Скачать" только ссылка на базы 4.20. Самого AVZ 4.20 нет и в помине!
Может я чего-то не понимаю или что-то у вас не так?

AndreyKa
13.09.2006, 16:41
В суд что-ли на них подать ? :) А на какой вариант он ругается - на русский или на английский вариант ?
Формально эвристик DrWeb прав, так как AVZ действительно скачивает из сети обновления.
Продуктивных пути решения этой проблемы на мой взгляд два:
1. Паковать AVZ криптером.
2. Отправлять в вирлаб DrWeb новую версию AVZ до размещения ее в сети для общего доступа.

Зайцев Олег
13.09.2006, 16:42
Всем добрый день!
Сегодня (13/09 17:30) решил обновить базу AVZ (версия 4.18), мне в ответ нужно обновить сам AVZ до версии 4.20. Захожу на сайт, а в разделе "Скачать" только ссылка на базы 4.20. Самого AVZ 4.20 нет и в помине!
Может я чего-то не понимаю или что-то у вас не так?
Что-то тут не так - http://www.z-oleg.com/secur/avz/download.php, там табличка на два столбца - слева описание, справа - сслыки. Может, окно браузера очень маленькое по горизонтали ?

Зайцев Олег
13.09.2006, 16:45
Формально эвристик DrWeb прав, так как AVZ действительно скачивает из сети обновления.
Продуктивных пути решения этой проблемы на мой взгляд два:
1. Паковать AVZ криптером.
2. Отправлять в вирлаб DrWeb новую версию AVZ до размещения ее в сети для общего доступа.
DrWeb тоже скачивает из сети обновления, но себя то он не детектирует :)

fp_post
13.09.2006, 17:27
Вечер добрый.
Олег,
примите поздравления по случаю выхода новой версии!
Описанные нововведения выглядят очень неплохо

Если разрешите, пару поверхностных замечаний:
- для Cpl-апплетов, наверное, стоит учитывать пути в
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Con trol Panel\Cpls];
- мелочь по интерфейсу:может добавить закрытие модальных окон по Esc?

drongo
13.09.2006, 17:50
1. Паковать AVZ криптером ,только самодельным и никому не давать код раскодирования :)
Меньше головной боли по моему :)

userr
13.09.2006, 18:54
Олег у меня при запуске "avz.exe ag=y" на некоторых машинах вываливается с ошибкой

Белиал
13.09.2006, 19:58
Блин!! Новая версия AVZ конфликтует с Punto SWITCHER 2.9 (Программа Punto Switcher предназначена для автоматического переключения раскладки клавиатуры).
Запускаю AVZ, проверяю что-нибудь (оперативку), и после этого punto перестает переключать раскладку автоматически!
Нужно выгрузить punto, а потом опять запустить и она опять заработает (конечно, до следующего запуска AVZ!).

Это крайне не удобно. Версия 4.19 так не шалила.

Muffler
13.09.2006, 22:31
У меня после иследования системы вылазит окно "Протокол успешно сохранен. Вы хотите его посмотреть?" и когда я нажымаю "Да" - после этого ничего не происходит...

Sel
14.09.2006, 04:59
Спасибо за новую версию AVZ.
И спасибо за статью на СофтМайл http://soft.mail.ru/interview_page.php?id=55

santy
14.09.2006, 05:39
Олег, может быть, имеет смысл вводить список настраиваемых параметров - например: полное имя лог-файла, проверять наличие обновления при загрузке программы (удобно для работающих простояннно в сети) и т.д.?

Sel
14.09.2006, 07:04
Блин!! Новая версия AVZ конфликтует с Punto SWITCHER 2.9 (Программа Punto Switcher предназначена для автоматического переключения раскладки клавиатуры).
Запускаю AVZ, проверяю что-нибудь (оперативку), и после этого punto перестает переключать раскладку автоматически!
Нужно выгрузить punto, а потом опять запустить и она опять заработает (конечно, до следующего запуска AVZ!).

Это крайне не удобно. Версия 4.19 так не шалила.

Прверил с новой AVZ у меня Punto SWITCHER без проблем продолжила работать с установленными настройками, в том числе и автоматическое переключение раскладки клавиатуры.

Зайцев Олег
14.09.2006, 13:50
Прверил с новой AVZ у меня Punto SWITCHER без проблем продолжила работать с установленными настройками, в том числе и автоматическое переключение раскладки клавиатуры.
Я тоже не поленился проверить
C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиш
4. Опрашивает состояние клавиатуры
5. Опрашивает активную раскладку клавиатуры
6. Определяет ASCII коды по кодам клавиш
C:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши

Это выдается в случае отключения базы безопасных ... До и после сканирования автопереключение раскладки клавиатуры в Punto Switcher срабатывает без всяких проблем

pig
14.09.2006, 14:07
Punto, бывает, и без помощи AVZ заклинивает.

Белиал
14.09.2006, 21:03
Значит punto только у меня после работы новой AVZ глючит.
Еще вот что выяснил: [параметры поиска] --> снимаем галочку с [Поиск клав. перехв.] и тогда все прекрасно, punto работает.

RiC unreg
14.09.2006, 21:47
В английской версии у меня не работают скрипты встраиваемые в отчет "исследование системы".

Зайцев Олег
15.09.2006, 11:56
В английской версии у меня не работают скрипты встраиваемые в отчет "исследование системы".
надо будет проверить ...

Сегодня ежедневное обновление базы немного необычное - добавлено 7 тыс. зловредов, причем отлов/добавление/анализ/контроль ложных срабатываний производились без участия человека, на полной автоматике. В связи с этим есть просьба потестировать, нет ли ложняков или глюков. Их быть не должно, но тем не менее ... По результатам первого запуска возникла другая проблема - имеется тьма зловредов, которые детектированы как зловред, но не ловятся KAV. Мое именование зверей привязано к их классификации... В связи с этим есть предложение подискутировать о классификации и именовании таких зверей

Juri
15.09.2006, 12:59
:? На странице обновления до V 4.20- русский вариант упорно сажает v.4.19, англояз-ый садит 4.20.

Зайцев Олег
15.09.2006, 13:43
:? На странице обновления до V 4.20- русский вариант упорно сажает v.4.19, англояз-ый садит 4.20.
Я специально проверил - 4.20 по обоим ссылкам. Вывод - или avz4.zip прокеширован прокси-сервером, или качается некоей утилитой докачки, которая пытается искать зеркала и некорретно это делает.

userr
15.09.2006, 18:38
Олег, как же все-таки запуск с авгуардом "avz.exe ag=y" ? У меня ни на одной машине нормально не работает :( 4.19 работала

Alex Plutoff
16.09.2006, 00:52
-в одной из тем (http://virusinfo.info/showthread.php?t=6231) в разделе помогите (http://virusinfo.info/forumdisplay.php?f=46) я предложил воспользоваться алгоритмом:
AVZ > Включить AVZGuard > Файл > Отложенное удаление > Укажите C:\Documents and Settings\All Users\Документы\Settings\arm32.dll > Ok > не выключая AVZGuard перегрузите Ваш ПК... но как выяснилось такой алгоритм в AVZ 4.20 не работает...
-с целью проверить его работоспособность, я попытался на своём ПК удалить отложенным удалением C:\Program Files\Winamp\winampa.exe(агент Winamp`а, висит в трее и поддерживает файловые ассоциации плеера), но ничего не получилось, т.е. не удалось файл удалить...
-попробовал, так, на всякий случай, AVZ > Сервис > Поиск файлов на диске > Удалить отмеченные файлы > Удаление файлов и эвристическая чистка ссылок на них в системе + Копировать удаляемые файлы в карантин > Ok
в результате, AVZ выдал протокол:
>>>Для удаления файла C:\Program Files\Winamp\winampa.exe необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\Curr entVersion\Run,WinampAgent,C:\Program Files\Winamp\winampa.exe, а после перезагрузки файл был успешно удалён...
-что это баг в AVZ 4.20 или я что-то сделал не так?

aleksdem
16.09.2006, 10:07
Подскажите, пожалуйста, почему уменя в 4.19 и 4.20 на вкладке Ревизор-Создание базы нет кнопки Пуск , или файл \avz4\Revizor\2006-09-16.frz создаётся как-то подругому?

Зайцев Олег
16.09.2006, 10:45
Подскажите, пожалуйста, почему уменя в 4.19 и 4.20 на вкладке Ревизор-Создание базы нет кнопки Пуск , или файл \avz4\Revizor\2006-09-16.frz создаётся как-то подругому?
Кнопка пуск должна быть... а какие у вас настройки экрана и шрифтов (проще скриншот этого окна прислать мне для изучения).

16.09.2006, 10:52
Олег, когда будет сделанна защите от правки процессом своего пути к EXEшнику.