Вышла новая версия антивирусной утилиты AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner
Страница загрузки http://www.z-oleg.com/secur/avz/download.php
Система учета ошибок, замечаний и предложений: http://www.z-oleg.com/secur/avz/report.php
Архив с утилитой содержит базу вирусов от 29.12.2006 74329 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 365 микропрограмм эвристики, 54473 подписи безопасных файлов
Список доработок и модификаций:
[+++] Новая подсистема AVZ - Boot Cleaner. Данная система основана на драйвере режима ядра и применяется для чистки системы в процессе загрузки компьютера. Управление системой производится при помощи скриптов AVZ. Boot Cleaner позволяет удалять ключи реестра и файлы с указанными именами, удалять и отключать драйвера и службы. Команды управления системой и примеры описаны в документации.
[++] Сохранение настроек в виде именованных профилей. Позволяет создавать неограниченное количество профилей с возможностю их последобщей загрузки. Профиль содержит параметры, идентичные параметрам командной строки - все параметры описаны в документации
[+] Детектирование подмены имени файла или пути к нему в PEB процесса в AVZPM
[+] Остановка процесса из KernelMode при активном AVZ PM
[+] Скрипты - добавлен ряд команд, в частности для проверки любого файла по базам AVZ,
работы с файлом Hosts. Расширен раздел "Типовые примеры" в описании скриптов
[-] Исправлен драйвер AVZPM - ряд доработок, в том числе исправлена ошибка на W2K3 SP0
[-] Исправлен мелкий глюк с отображением окон AVZ при наличие в системе нескольких мониторов
----------
Немного подробнее о BootCleaner: это драйвер KernelMode, предназначенный для чистки системы. BootCleaner может работать в двух режимах:
1. Без перезагрузки. В этом случае просто производится попытка выполнения указанных операций из режима ядра. В этом слечае в систему устанавливается драйвер BootCleaner, производится его настройка, драйвер выполняет необходимые действия, после чего заверешает работу и самоуничтожается
2. С перезагрузкой. В данном случае драйвер устанавливается в систему как Boot-драйвер и производится его настройка. Затем необходима перезагрузка, в ходе которой драйвер выполнить указанные операции и самоуничтожится.
Управление драйвером производится из скриптов, все команды описаны в документации (раздел 15.20). Пара примеров:
begin
// Добавление в сценарий команды удаления файла
BC_DeleteFile('c:\trojan.exe');
// Активация драйвера
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.
В данном случае драйверу ставится задача удалить файл, производится активация системы и перезагрузка. Аналогично с удалением драйверов:
begin
// Добавление в сценарий команды удаления драйвера PE386
BC_DeleteSvc('PE386');
// Настройка протокола
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
// Активация драйвера
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.
В данном примере удаляется драйвер "PE386", и включается протоколирование.
BootCleaner позволяет выполнять слудующие операции:
- удаление файлов
- удаление ключей реестра
- удаление драйверов и служб (поддерживается два режима - удаление из реестра, или реестр + файл)
- отключение драйверов и служб
В именах драйверов и служб поддерживаются Unicode символы и непечатаемые символы, в частности символ с кодом 0
------
В справке новые примеры. В частности, пример построения искателя файлов по именам с внешней базой и подключением AV сканера и базы безопасных файлов AVZ - см. раздел 15.40.11 справки http://www.z-oleg.com/secur/avz_doc/. Там же пример 15.40.10 - типовой пример скрипта убиения зловредов с применением сочетания "AVZGuard + отложенного удаления + эвристической чистка системы + BootCleaner".

не первую версию скачиваю-проблема только с последними двумя-не запускается с ярлыка на рабочем столе-невозможно загрузить папку BASE. Из системной папки работает как надо.

Рад видеть, что поправились переводы скриптов. :)

Добавления к интерфейсу немногочисленны и переводились без моего участия, но я их одобряю. :)

Ok! Новая версия удачно удаляет процесс. А как удалить:

1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"

Как его удалить через AVZ?

не первую версию скачиваю-проблема только с последними двумя-не запускается с ярлыка на рабочем столе-невозможно загрузить папку BASE. Из системной папки работает как надо.
А как создается ярлык ? Я уверен, что вместо ярлыка на рабочий стол вытаскивается сам AVZ.EXE

Ok! Новая версия удачно удаляет процесс. А как удалить:

1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"

Как его удалить через AVZ?
Удалить из памяти чужой загруженный драйвер, особенно если он маскируется и не желает выгружаться - задача достаточно опасная и чаще всего нереализуемая (из за того, что драйвер может создать потоки, перехватить функции и т.п. - его выгрузка приведет к BSOD). Поэтому задачей AVZPM является детект маскируемого драйвера для того, чтобы вычислить полный путь к нему и затем прибить. В случае с реальным зловредом-руткитом это можно сделать через BootCleaner скриптом:

begin
// Добавление в сценарий команды удаления файла
BC_DeleteFile(c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys');
// Активация драйвера
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.

А в случае с rk_demo_v12 и это не требуется - это деморуткит, для системы не опасный, в автозапуск он не прописывается ...

Как-то мудрено со скриптами получается. Можно, например, загрузиться со системного CD-диска, и удалить все ненужные файлы. Другой вопрос: "а если такого диска нет??..." :) Но в этом случае можно ответить вопросом на вопрос: "А если нет AVZ??"...

Было бы лучше удалять драйверы в диалоге с AVZ. Конечно, возможно, у многих другое мнение, но исключительное использование скриптов для убивания реальных зловред-руткитов резко сужает рамки возможных пользователей.

В общем, чайникам тоже нужна защита! Я могу объяснить своей сестре, что "ввойди в такое-то меню, выбери то-то...", но "напиши скрипт...." - это круто, конечно.

Было бы лучше удалять драйверы в диалоге с AVZ. Конечно, возможно, у многих другое мнение, но исключительное использование скриптов для убивания реальных зловред-руткитов резко сужает рамки возможных пользователей.
Может быть, но наличие подобного инструмента в неумелых руках может больше навредить, чем помочь, потому как на удаление с помошью Boot драйвера ограничения не распрастраняются, здесь не спасёт даже "защита системных файлов".

Олег а Help к английской версии пополнять есть возможность ?
А то содержимое английского HLP файла так и "застряло" где-то посредине между 4.19 и 4.20...

Олег а Help к английской версии пополнять есть возможность ?
А то содержимое английского HLP файла так и "застряло" где-то посредине между 4.19 и 4.20...
Я пока думаю, как быть с английским хелпом. Держать пареллельно два варианта (rus + eng) достаточно накладно, так как придется поддерживать их синхронность. Пока план таков - я доделываю среду полувизуальной разработки скриптов, там будет урезанная справка по командам (и она будет обновляться так-же, как базы AVZ), эту справку несложно будет локализовать.

Как-то мудрено со скриптами получается.
....
В общем, чайникам тоже нужна защита! Я могу объяснить своей сестре, что "ввойди в такое-то меню, выбери то-то...", но "напиши скрипт...." - это круто, конечно.
Был такой прототип - с управлением из меню. Но он был изничтожен по тем соображениям, которые высказал RiC - слишком уж опасный инструмент получился. Предполагается, что человек или умеет писать скрипты и точно знает что удалять и как, или скрипт для него подготовит "хелпер".

Ну, вам, господа, видней. Как говорил Форд, мы можем для Вас сделать авто любого цвета при условии, что этот цвет черный... (примерно так)

Олег,
смотри, что мне AVZ пишет:

Функция NtClose (19) перехвачена (805675D9->F6BACD00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcess (2F) перехвачена (805B3543->F6BACA20), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (805885D3->F6BACB90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (80564B1B->F6BACE40), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (8057F262->F6BAD630), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtOpenProcess (7A) перехвачена (8057459E->F6BAC7B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtQueryInformationFile (97) перехвачена (80572D12->F6BAD2F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtQuerySystemInformation (AD) перехвачена (8057CC27->F6BAD430), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtResumeThread (CE) перехвачена (8057F8D5->F6BAD5E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtSetInformationProcess (E4) перехвачена (8056C608->F6BAF1F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtSuspendThread (FE) перехвачена (805DC61B->F6BAD590), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (8058AE1E->F6BAD1C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Это что же получается? Что AVZ до сих пор не знает драйвера Касперского? Или это нормально и так и должно быть?
Если нужны копии драйверов, то вышлю по первому требованию.

Хотелось бы внести ясность.

По моему , так должно быть , ведь каспер то перехватывает :)

Однако ,можно было бы добавить выделение цветом "подписанных" драйверов , то есть полезных , которые у AVZ в базе безопасных .

Посмотрим, что скажет Олег.

У меня почему-то не сохраняются логи после выполнения скрипта сбора информации..

Посмотрим, что скажет Олег.
А что тут можно сказать - только klif.sys значится в базе безопасных 43 раза, диапазон версий от 6.12 до 6.12.10.247. Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.

У меня почему-то не сохраняются логи после выполнения скрипта сбора информации..
Должны сохраняться ... версия английская или русская ? Запуск c локального диска, CD, сетевой папки ?

Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.
Версия klif.sys -- 6.12.10.147

Результат загрузки
Файл сохранён как klif_459675089c300.sys
Размер файла 129808
MD5 a25f600e14b33a4d56081c7bba32200e

Это что же получается? Что AVZ до сих пор не знает драйвера Касперского? Или это нормально и так и должно быть?

Это нормально, и так должно быть, и так будет независимо от того, будет ли указанный драйвер в "базе безопасных" AVZ или нет.

Выделение цветом безопасных модулей в основном отчете AVZ (в главном окне) - это задача, которая стоит уже достаточно давно, и, чтобы не смущать обычных пользователей, было бы неплохо поскорее это сделать. Пока же достаточно бросить беглый взгляд на список драйверов в "Модулях пространства ядра", чтобы понять, безопасный он или нет.

А что тут можно сказать - только klif.sys значится в базе безопасных 43 раза, диапазон версий от 6.12 до 6.12.10.247. Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.
Наверняка большинство этих klif-ов - от различных бета-версий продукта, т.е. по сути бесполезный хлам. Был бы реальный смысл оставить только то, что являлось компонентом официальных релизов KAV6/KIS6, благо их было не так уж много, думаю не более 5-ти или 6-ти, включая MP1.

Наверняка большинство этих klif-ов - от различных бета-версий продукта, т.е. по сути бесполезный хлам. Был бы реальный смысл оставить только то, что являлось компонентом официальных релизов KAV6/KIS6, благо их было не так уж много, думаю не более 5-ти или 6-ти, включая MP1.
Так я практически только из официальных и беру - то, что найдено на реальных ПК, на оф. версиях. Тем не менее разновидностей много ... но 43 штуки - это за три года ведения базы. Распространенных - штук 5/7.

Нужно добавить в лог ссылки для
1. Установка бут драйвета
2. Удаление файла через бут драйвер.
Нужно отмечать в логе файлы не найденные на диске. При чем всегда сначала пробовать считать файл через прямое чтение.
Очень нужно согранять лог с результатами выполнения скрипта.

Да, еще не плохо бы помещать копии всех файлоф удаляемых бут драйвером в карантин, для последующего исследования.

http://virusinfo.info/showthread.php?t=7332
Лог BootCleaner пустой. Стрим не удаляется никаким образом...

ХМ.. почему-то опять нелечиться ошибки протоколов(tcp, lsp) http://forum.kaspersky.com/index.php?showtopic=26230&view=findpost&p=252541
или я что-то недоганяю?

http://virusinfo.info/showthread.php?t=7332
Лог BootCleaner пустой. Стрим не удаляется никаким образом...

Не удаляется потому что скрипт написан не правильно...;)

2 Олег: обе версии, и русская, и английская. На примере русской - архив распакован в %Program Files%\AVZ. После скрипта папка LOG появляется, но в ней пусто. :?

http://virusinfo.info/showthread.php?t=7332
Лог BootCleaner пустой. Стрим не удаляется никаким образом...
В скрипте ошибка ... - нужно сначала настроить BC, а потом активировать. В скрипте - наоборот - т.е. он активируется без настроек, поэтому и логи пустые. Т.е. для той темы правильно:


begin
BC_DeleteFile('c:\windows\system32\svchost.exe:exe .exe');
BC_DeleteFile('c:\windows\system32\svchost.exe:exe .exe:$DATA');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.

2 Олег: обе версии, и русская, и английская. На примере русской - архив распакован в %Program Files%\AVZ. После скрипта папка LOG появляется, но в ней пусто. :?
Странно - я запустил у себя AVZ из PF - отработало все нормально. Я предлагаю три опыта:
1. Выполнить скрипт и посмотреть, что вернет GetAVZDirectory


begin
AddToLog(GetAVZDirectory);
end.

2. Скопировать папку AVZ4 в корень диска и повторить запуск скрипта сбора информации, и посмотреть, сохранить он лог или нет
3. Запустить AVZ из PF, а параллельно FileMon - и посмотреть, фильтр по имени файла "virusinfo" - пытается сохраняет ли он создать файл

ХМ.. почему-то опять нелечиться ошибки протоколов(tcp, lsp) http://forum.kaspersky.com/index.php?showtopic=26230&view=findpost&p=252541
или я что-то недоганяю?
Похоже, у человека rsvp32_2.dll восстанавливается. Поэтому AVZ и не видит ошибков в LSP ... AVZ увидит ошибку, если удалить файл и после перезагрузки его не будет. Тормоза после очередного удаления говорят именно о успешном удалении ... но AVZ поможет, если нужно почистить запись от левого LSP провайдера, но не поможет, если левый провайдер заменил собой нормального

rsvp32_2.dll во вторых логах его уже нету.. непонятно отсутствие интернета тогда..

Только что имел похожую проблему с rsvp32_2.dll
(тот, вирус, что из аськи кидал ссылку на зараженный сайт www.counter-pr.info).
Для чистки использовал AVZ.
Менеджер Winsock на второй вкладке увидел нестандартные строки (около 5), подкрасил красным, и на вкладке "Поиск ошибок" все удалилось нормально.
Однако, строчка MSADF Tcpip TCP/IP при новом сканировании отсутствует. (на рабочем компе рядом- она есть)
Меня выручила программа ftp://ftp.widomaker.com/pub/winsock/utils/WinsockxpFix.exe
Она восстановила необходимую строчку. Сеть пришлось настроить заново.
Интернет появился. Happy END.
_________________
Возможно, раз такое случается, подобную опцию восстановления настроек в AVZ можно подправить?

Зачем AVZ убивает перехваты касперского (и ругается на них)?
Вот, вы были не довольны, когда некоторые антивирусы детектировали эвр. анализатором AVZ как возможного зловреда. Но, то что AVZ вмешивается в работу касперского, думаю, тоже создателей AVP немного заставляет быть не довольными.

И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.

Так её попросили найти и снять все перехваты - она это и делает, о чём отчитывается. Всё по-честному.

Зачем AVZ убивает перехваты касперского (и ругается на них)?
...
И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.

С Outpost -аналогичная проблема.
Но, как я понял, файл заносится в "безопасные" не по названию, а по названию и сигнатуре. И подверсий у Касперского и Outpost-а довольно много. Надо присылать файлы- добавят.
_________________
У меня другой вопрос, может стоит для подобных случаев создать
"Игнор-лист",
куда пользователь заносил бы доверенные приложения самостоятельно. Тогда бы подобные вопросы не возникали.
Туда можно занести кроме Каспера и Outpost драйвера Daemon Tools, оболочку RunPad Shell и прочие.
Вот тогда можно было бы чистить почти "не глядя".

2 Олег: снял хуки - создалось. Опять, похоже, надо переустанавливать Tiny - конфиг глючит. Perdoname за беспокойство. :)

Зачем AVZ убивает перехваты касперского (и ругается на них)?
Вот, вы были не довольны, когда некоторые антивирусы детектировали эвр. анализатором AVZ как возможного зловреда. Но, то что AVZ вмешивается в работу касперского, думаю, тоже создателей AVP немного заставляет быть не довольными.

И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.
Alex5, перечитайте мой предыдущий пост в этой теме (за 30.12.2006 19:06) - вам, надеюсь, станет ясно, зачем и почему AVZ так делает! И, пожалуйста, будьте внимательнее к тому, что тут пишется - люди ведь не зря сотрясают воздух! ;)

PS. На самом деле AVZ не "ругается" на перехваты, а лишь констатирует факт перехвата, и это абсолютно правильно! Однако, чтобы не смущать пользователей, нужно показывать перехваты "безопасных" модулей зеленым цветом (это потребует некоторой переделки главного окна AVZ, точнее - использования другого контрола для отображения окна отчета) или же как-то дополнительно говорить об этом в отчете в главном окне AVZ. Этот функционал надо реализовать как можно скорее, т.к., я смотрю, количество вопросов подобного плана последнее время растет, причем даже от людей, которые знают AVZ уже довольно давно...

С Outpost -аналогичная проблема.
Но, как я понял, файл заносится в "безопасные" не по названию, а по названию и сигнатуре.
Неправильно. Но это и не важно - вам, как пользователю, как разница? ;)


И подверсий у Касперского и Outpost-а довольно много. Надо присылать файлы- добавят.
А вот это абсолютно верно!


_________________
У меня другой вопрос, может стоит для подобных случаев создать
"Игнор-лист",
куда пользователь заносил бы доверенные приложения самостоятельно. Тогда бы подобные вопросы не возникали.
Туда можно занести кроме Каспера и Outpost драйвера Daemon Tools, оболочку RunPad Shell и прочие.
Вот тогда можно было бы чистить почти "не глядя".
В этом случае помимо игнор-листа надо будет еще реализовать функционал, не позволяющий "трогать" (к примеру, не давать снимать их перехваты) модули из безопасного списка + модули из игнор-листа. Может быть это и правильно, не знаю... хотя мне, к примеру, это не нужно - ведь понять, безопасный это модуль или нет, можно по списку процессов, dll и модулей ядра.

failed (0xNNNNNNN)- в ходе выполнения операции возникли ошибки, в скобках указывается код ошибки

Не мешало бы описать что значит каждый номер ошибки.

Не мешало бы описать что значит каждый номер ошибки.
Код, который выводится в журнале BootCleaner-а - это код NTSTATUS после выполнения команды скрипта. Скачайте набор утилит KmdKit (http://www.wasm.ru/tools/21/KmdKit.zip), распакуйте его. Там внутри найдете утилиту StatusToError - это то, что вам нужно, чтобы определить, что означает этот код.

Зайцев Олег
Очередная порция заслуженных похвал тебе и AVZ. (http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=13590&start=160#lt)

Сегодня запустил AVZ, обновил базы, запустил сканирование системы. В самом начале отчёта увидел это:

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Протокол антивирусной утилиты AVZ версии 4.23
Сканирование запущено в 02.01.2007 12:53:50
Загружена база: 75502 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 02.01.2007 12:08
Загружены микропрограммы эвристики: 365
Загружены цифровые подписи системных файлов: 54473
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Что мне следует сделать?

Сегодня запустил AVZ, обновил базы, запустил сканирование системы. В самом начале отчёта увидел это:


Что мне следует сделать?
Это глюк, и он уже пойман. Нужно еще раз обновить базы - и все будет нормально.
to DimaT
Приятно читать, что народу полезен AVZ :)
to All
Насчет детекта и снятия перехватов - пара моих комментариев:
1. Важным моментом является то, что AVZ ведь не сообщает о том, что перехват опасен, вреден, создан трояном или зловредом и т.п. - он просто констатирует факт - что функция X перехвачена методом Y, причем перехватчик возможно модуль Z. Поэтому разницы в том, антивирус это, Firewall, руткит и т.п. ему нет - выводятся данные о всех перехватах, которые AVZ в состоянии детектировать.
2. Частичная нейтрализация перехватов по неким условиям весьма опасна, по ряду причин:
2.1 Предположим, что AVZ "видит" перехват функции X драйвером klif.sys. Но после этого перехвата в системе установился руткит (которого прозевал монитор) - и этот руткит использует т.н. слайсинг - т.е. модификацию машинного кода. Что произойдет ? А произойдет интересный фокус - этот руткит найдет адрес функции X (в нашем случае указывающий на функцию-перехватчик в klif.sys) и изменит ее машинный код, т.е. изменит машинный код драйвер klif.sys в памяти ! Практический результат - на первый взгляд функция перехвачена легитимным драйвером, а на самом деле - зловредом !
2.2 Предположим, что в системе водится руткит и он установился до легитимного драйвера. Тогда функция X сначала перехватывается зловредом, затем - легитимным драйвером ... В результате AVZ будет видеть последний перехватчик в цепочке (т.е. легитимный драйвер) !
2.3 Рассмотрим случай 2.2 наоброт - сначала установился легитимный драйвер и перехватил 20 функций, в том числе функцию X. Затем установился нелегитимный и перехватил функцию X. Следуя правилу "не трогать легитимные перехваты" AVZ снимет перехват функции X - сняв оптом перехват как легитимного драйвера, так и левого. В результете легитимным драйвером будет перехвачено уже 19 функций, а не 20 ! Как частичное снятие перехватов скажется на его работе - предсказать очень трудно, но BSOD весьма вероятен.
Поэтому по умолчанию AVZ показывает в логе все перехваты и посдсвечивать зеленым перехваты легитимных драверов в свете п.п. 2.1 и 2.2 получается не совсем корректно. Равно как снимать перехваты частично ... - AVZ снимает все перехваты, но это включается вручную и пользователя предупреждает матюгальник в диалоговом окне и сообщение в протоколе о том, чем это чревато и что после анализа необходимо немедленно перезагрузиться

Код, который выводится в журнале BootCleaner-а - это код NTSTATUS после выполнения команды скрипта. Скачайте набор утилит KmdKit (http://www.wasm.ru/tools/21/KmdKit.zip), распакуйте его. Там внутри найдете утилиту StatusToError - это то, что вам нужно, чтобы определить, что означает этот код.


Cпасибо! Это то что надо...:)

Олег Зайцев
Не могу ничего скачать:
http://z-oleg.com/avz4.zip
http://dl1.rapidshare.ru/127737/88839/avz4.zip

Залейте на rapidshare.de или rapidshare.com, please!

Олег Зайцев
Не могу ничего скачать:
http://z-oleg.com/avz4.zip
http://dl1.rapidshare.ru/127737/88839/avz4.zip

Залейте на rapidshare.de или rapidshare.com, please!


http://rapidshare.com/files/9978462/avz4.zip.html

Запускал у друзей AVZ. Получил в отчете
"Функция ... перехвачена. Перехватчик не определен." (какая именно не помню).
Ни антивирусов ни брандмауревов на ПК нет. К нету в данное время не подключен.
Что бы это могло быть? (Может потребоваться прислать лог целиком?)

Mad Scientist, обязательно прочитайте вот эти правила о помощи (http://virusinfo.info/showthread.php?t=1235)

Насчет детекта и снятия перехватов - пара моих комментариев:
1. Важным моментом является то, что AVZ ведь не сообщает о том, что перехват опасен, вреден, создан трояном или зловредом и т.п. - он просто констатирует факт - что функция X перехвачена методом Y, причем перехватчик возможно модуль Z. Поэтому разницы в том, антивирус это, Firewall, руткит и т.п. ему нет - выводятся данные о всех перехватах, которые AVZ в состоянии детектировать.
То, что любые перехваты SSDT отражаются в журнале - это абсолютно правильно, т.к. они реально есть, и информация об этом зачастую помогает понять, что происходит на компьютере даже без более глубокого анализа.

Далее начну не соглашаться, и чтобы моя дальнейшая аргументация стала более понятной, начну вот с чего. Давайте вкратце вспомним, каким образом AVZ отображает информацию о "безопасных сущностях" (процессах, модулях, файлах и т.д.). Делается это примерно так (возьмем для примера модуль "Диспетчера процессов" AVZ):
- для каждого отображаемого в списке процесса находится его исполнимый файл (без подробностей, как это делается, т.к. тут тоже есть подводные камни, например модификация PEB), и если длина + контрольная сумма этого файла находится в "базе безопасных файлов" AVZ, то процесс отображается зеленым цветом. Если не находится - то черным;
- для каждого процесса из этого списка также отображается список модулей (dll + кое-что), загруженных в его адресное пространство. Для каждой такой dll также находится соответствующий ей файл на диске, и если его длина + контрольная сумма находится в списке безопасных, то эта dll отображается зеленым цветом. Если нет - черным.

Примерно так. В такой схеме есть как минимум два недостатка (их больше, но нам пока важны именно этих два):
1) первый, о котором я писал почти год назад тут, на форуме, а также в своем блоге - кому интересно, можете прочитать) состоит в том, что AVZ проверяет не тот файл, что загружен в память, а тот, что лежит на диске (т.к. длина + контрольная сумма формируются именно из него). Простая врЕменная подмена "плохого" исполнимого файла процесса на "хороший" (тот, который заведомо есть в списке безопасных) на время проверки AVZ делает его зеленым в обоих списках, о которых я упомянул выше. Т.е. реально может быть загружен "плохой" файл, а на диске вместо него врЕменно может лежать "хороший", и AVZ такой подмены не заметит. С введением AVZPM эта проблема, в принципе, решается, т.к. AVZPM - это, по сути, монитор запуска процессов и загрузки модулей, в связи с чем первичная проверка модуля на диске м.б. осуществлена именно в момент запуска модуля, а не позднее, при запуске AVZ. Но все ли и всегда ли имеют загруженный AVZPM?
2) второй недостаток связан с тем, что только для нескольких известных только автору dll (если честно, то даже я этого не знаю, хоть и неплохо разбираюсь во "внутренностях" AVZ) определяется факт перехвата (сплайсинга), причем только для процесса самого AVZ. Что это значит? Представим себе, что есть некая важная dll с именем xxx.dll, которая находится в списке безопасных AVZ и которая подгружена, к примеру, в процесс winlogon.exe, но не подгружена при этом в AVZ. Каким цветом эта библиотека будет отображена пользователю? Само собой зеленым, скажете вы! Вроде все правильно, но... Представим себе, что в адресном пространстве этого winlogon.exe находится некий зловредный поток, который сделал сплайсинг одной или нескольких функций этой библиотеки xxx.dll. Заметит это AVZ? ;) Нет! Но эту библиотеку при этом он покажет зеленым цветом. Что же получается? Функции перехвачены зловредом, а AVZ не только не предупреждает пользователя об этом, но еще и усыпляет его бдительность, отображая ее зеленым цветом!!! :P

Последний сценарий вам уже что-то напоминает? Может, пункт 2.1 или 2.3 из приведенных Олегом выше сценариев? Так почему же тогда для процессов или dll можно показывать зеленым цветом то, что м.б. перехвачено, а для драйверов и модулей ядра, как утверждает Олег, нет? Я, если честно, не понимаю! Если уж следовать такой логике, то надо ей следовать везде - т.е., по сути, ничего и нигде не отображать зеленым цветом, т.к., по сути, все проверить на "безопасность" практически невозможно!!!

Теперь по пунктам:

2. Частичная нейтрализация перехватов по неким условиям весьма опасна, по ряду причин:
2.1 Предположим, что AVZ "видит" перехват функции X драйвером klif.sys. Но после этого перехвата в системе установился руткит (которого прозевал монитор) - и этот руткит использует т.н. слайсинг - т.е. модификацию машинного кода. Что произойдет ? А произойдет интересный фокус - этот руткит найдет адрес функции X (в нашем случае указывающий на функцию-перехватчик в klif.sys) и изменит ее машинный код, т.е. изменит машинный код драйвер klif.sys в памяти ! Практический результат - на первый взгляд функция перехвачена легитимным драйвером, а на самом деле - зловредом !
Очень маловероятный (если вообще существующий в природе) сценарий. Сплайсить чужой драйвер намного сложнее и опаснее, чем, к примеру, сплайсить соответствующую перехвату функцию в заранее известном для всех версий ОС ntoskrnl.exe. Ну, пусть в этом случае зловред не первым получит управление, что из того? Для многих случаев это просто не важно, т.к. скорее важно именно то, что зловред будет впереди стандартного обработчика ядра (кстати, я не понял, почему этот сценарий не был упомянут Олегом)!


2.2 Предположим, что в системе водится руткит и он установился до легитимного драйвера. Тогда функция X сначала перехватывается зловредом, затем - легитимным драйвером ... В результате AVZ будет видеть последний перехватчик в цепочке (т.е. легитимный драйвер) !

Само собой. Только при этом легитимный драйвер первым получает управление и далее уже может решать, передавать ему управление "старому" обработчику (зловреду) или же непосредственно в ntoskrnl.exe. Т.е. из того факта, что зловред успел первым, в реальности может ничего плохого и не следовать, если драйвер легитимной программы достаточно "умен".


2.3 Рассмотрим случай 2.2 наоброт - сначала установился легитимный драйвер и перехватил 20 функций, в том числе функцию X. Затем установился нелегитимный и перехватил функцию X. Следуя правилу "не трогать легитимные перехваты" AVZ снимет перехват функции X - сняв оптом перехват как легитимного драйвера, так и левого. В результете легитимным драйвером будет перехвачено уже 19 функций, а не 20 ! Как частичное снятие перехватов скажется на его работе - предсказать очень трудно, но BSOD весьма вероятен.
BSOD в данном случае вероятен ровно настолько же, как и в случае полного снятия перехватов в AVZ до уровня ntoskrnl.exe. Почему? Да очень просто! Ведь снятие всех перехватов в AVZ - это не одномоментный процесс (типа транзакции), а очень даже сериализованный (через последовательные обращения к драйверу avz.sys для снятия каждого перехвата в отдельности, а не всех оптом) и растянутый во времени, не так ли? ;) Это означает, что в каждый момент времени от начала снятия перехватов до конца снятия в системе последовательно уменшается число перехватов, т.е. в первый момент останется 19 перехватов из 20-ти, потом 18 из 20-ти и так до нуля. За это время, в теории, может произойти не менее 20-ти BSOD-ов, но... ведь не происходит! И не должно, если драйвер написан корректно!


Поэтому по умолчанию AVZ показывает в логе все перехваты и посдсвечивать зеленым перехваты легитимных драверов в свете п.п. 2.1 и 2.2 получается не совсем корректно. Равно как снимать перехваты частично ... - AVZ снимает все перехваты, но это включается вручную и пользователя предупреждает матюгальник в диалоговом окне и сообщение в протоколе о том, чем это чревато и что после анализа необходимо немедленно перезагрузиться
Я бы сказал так: некорректна сама идея базы безопасных файлов, пока она формируется одним способом, а модули проверяются совсем другим. Поэтому будет логично или отказаться от этой идеи вообще (и для процессов, и для dll, и для модулей), или же следовать этой идее до конца - т.е. все-таки отображать зеленым цветом перехваты, осуществляемые легитимными модулями. Я - за последний вариант, хоть и понимаю его теоретическую и практическую несостоятельность. Но уж лучше так, чем совсем никак! ;) Что же касается снятия перехватов в AVZ - да, надежнее и проще это делать до уровня модуля ntoskrnl.exe (т.е. так, как это сделано сейчас).

PS. Очень длинно получилось (типа для блога)... но что поделаешь?

Xen, спасибо, но мне было как-раз интересно узнать что значит <...Перехватчик не определен> и из ответа Aintrust я почерпнул для себя инфу к размышлению (насколько мог понять).
-----------------------------------------------------------------------
Пример: "Менеджер расш. проводника" (или "Менеджер автозапуска")
Сохр. протокола-> Протокол успешн. сохранен. Вы хотите его просмотреть -> да -> никакой реакции

Сохранение протокола в "Менеджере расширений проводника" и в менеджере расширений IE сохраняют лог в один и тот же файл avz_ie_ext.htm по-умолчанию не спрашивая разрешения на перезапись

короче я все понял.
делаем лечебную машину: можно ноутбук, ставим linux (в крайнем случае winXP лицензия со всеми обновлениями), ставим каспера (можно trial если не лень раз в месяц переставлять) и все hdd ставим на проверку на эту машину. И firewall для кучи под win32 обязательно ставим (comodo бесплатный, обновляется, ставится даже на w2003server). С этой машины в иннтернет только за обновлениями, а все остальное время сетевой кабель выдернут :)
P.S. хотел сейчас посмотреть что у каспера под linux есть, но сайт у них не доступен.

В отчетах "Модули расширения проводника", "Менеджер процессов" не работают ссылки на модули.
ПРИМЕР:
(*<TR bgColor=#ffdfb5><TD><a href="" title="ошибка получения информации о файле">"C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP</a><TD>Активен<TD>Ключ реестра<TD>HKEY_LOC...*)
--------------------------------------------------------------------------------------------
1)Почему бы в "Диспетчере процессов" не сделать возможность сортировки модулей по алфавиту, как сделана сортировка самих процессов? (так сделано в Process Explorer - оч. удобно).

2) Почему при перелистывании процессов AVZ "тормозит" (считает MD5)?

3) Хорошо бы сделать возможность поиска dll'и, подгруженной в к-л процесс (как в Process Explorer), тем более что AVZ может принудительно ее выгружать.

(Я понимаю, что у AVZ и Process Explorer различные назначения)
--------------------------------------------------------------------------------------------

http://www.xakep.ru//magazine/xa/081/118/4.asp
[Explorer Shell Extentions]

Мой "trojan.dll" заработал.
Я потом искал свой "trojan.dll" в "Менеджер расширений проводника" и не нашел.
("trojan.dll" загружен Explorer'om - Process Explorer)
Я что-то не так делал?
-----------------------------------------------------------------------------------
library ProcessFreezer;
var SysHook : HHook = 0;
....
function SysMsgProc
...
procedure RunStopHook(State : Boolean) export; stdcall;
begin
....
SysHook := SetWindowsHookEx(WH_GETMESSAGE,@SysMsgProc, HInstance, 0);
end;

begin{main}
if UpperCase(Application.Title)='AVZ' then while true do i:=i+1; // Зависание
// или UpperCase(Application.Title)='AVZ' then Application.Terminate; // Самозакрывание
//Жалко, Forms много весит.. Есть другие способы, но я не искал.
end.
// KAV.exe тоже выносится (Kaspersky 5.0)
// А вот с OUTPOST FireWall 4.& такая фишка не проходит (вероятно это он перехватывает SetWindowsHookEx)
// (Вернее проходит, но если его перед этим закрыть, а потом опять запустить)

(Может от этого будет к-л польза :))

2) Почему при перелистывании процессов AVZ "тормозит" (считает MD5)?
Это потому, что в нижнем окне AVZ всякий раз при смене строки пытается отобразить список dll, загруженных в адресное пространство данного процесса (или же информацию об окнах процесса). И то, и другое требует некоторых временных затрат, поэтому и притормаживает. Я, к примеру, уже зарекся делать скроллинг в этом окне клавишами PgUp/PgDn...


(Я понимаю, что у AVZ и Process Explorer различные назначения)
Ага...

Xen, спасибо, но мне было как-раз интересно узнать что значит <...Перехватчик не определен> и из ответа Aintrust я почерпнул для себя инфу к размышлению (насколько мог понять).
На самом деле Xen прав, т.к. чтобы разобраться в том, что там перехвачено, чем именно и каким образом, лучше иметь перед глазами логи AVZ и HJT, сделанные в соответствии с правилами этого форума. Это может быть и зловред, между прочим!

Сама по себе формулировка "...перехватчик не определен" означает, что указанная в логе функция к.-л. библиотеки (или модуля) чем-то перехвачена, но вот чем именно, AVZ определить не смог.


PS. Попробуйте в данном случае использовать специализированные анти-руткиты - к примеру, утилиту GMER (www.gmer.net - хоть этот сайт сейчас мертвый, саму программу вы легко найдете через любой поисковик) или RkUnhooker (www.rku.xell.ru). Они, если мне не изменяет память, имеют более продвинутые методики определения перехватчиков. И не забудьте потом рассказать о результатах вашего "расследования"!

Странно
В логах этой темы http://virusinfo.info/showthread.php?t=7376
Фаил 'D:\WINDOWS\system32\vbsys2.dll' есть в эвристической проверке, но его нет больше нигде в логе. Глюк? Или я чего-то не понимаю.

Кстати, в продолжение темы о том, надо ли как-то дополнительно отмечать перехваты, сделанные "безопасными" модулями, увидел еще одно противоречие тому, что говорил Олег, а именно:

1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
>>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=806ED6AD D:\WINDOWS\system32\ntoskrnl.exe, драйвер опознан как безопасный
ЦП[1].SYSENTER успешно восстановлен
т.е. тут явно указано, что перехват (якобы) осуществил безопасный драйвер ntoskrnl.exe. В то же самое время видим:

Функция ZwSetSystemPowerState (F1) перехвачена (8066F64D->F77F2550), перехватчик a347bus.sys
>>> Функция воcстановлена успешно !
Здесь уже не указано, что драйвер a347bus.sys "безопасный", хотя он таковым является (его нет в списке небезопасных драйверов, который имеется выше в логе).
И там, и тут - перехваты, сущность которых в принципе одинакова, хотя используется разная техника, а реакция AVZ при этом - разная.

Я бы вообще предложил "продвинутую" цветовую индикацию (причем во всех модулях AVZ и в журналах - совершенно одинаковую!), например:
- зеленый - модуль безопасный;
- красный - модуль сигнатурно определен как зловредный;
- желтый - модуль определен как вероятно зловредный (как сделано в списке процессов/модулей пр-ва ядра для dkom-руткитов);
- синий - модуль принадлежит списку безопасных модулей пользователя (что можно было бы в дальнейшем реализовать);
- черный - а кто его знает (т.е. все остальное).
Неплохо бы также различать ситуации, когда модуль не принадлежит ни одному из списков и когда модуль просто не найден на диске. Сейчас все это показывается черным цветом, и нет никакой возможности понять, что же там на самом деле.

В таком случае даже беглого взгляда было бы достаточно для ориентации, и не приходилось бы каждый раз, видя перехват, лазать туда-сюда по логу, чтобы определить, есть ли этот модуль-перехватчик в безопасном списке, или же нет.

to aintrust
Принимается - логи и отчет я покрашу в разные цвета, в антирутките какой-то глюк с проверкой драйверов по базе безопасных - поймаю и исправлю. По поводу цветов все согласны ? Вроде предложенная схема логична. Если возражений/предложений нет, то я ее и реализую.

D:\WINDOWS\system32:lzx32.sys упорно не копируется в карантин. Может можно это поправить?

to aintrust
По поводу цветов все согласны ?
С конкретными цветами надо будет уже смотреть в рабочем варианте, может быть желтый придется поменять на что-то лучше смотрящееся, например какой-нибудь из его оттенков.

D:\WINDOWS\system32:lzx32.sys упорно не копируется в карантин. Может можно это поправить?
Поправить можно - после выходных выйдет 4.24 с новым BootCleaner - он кроме убиения файла делает его копию в карантине.

Вопрос , так как теперь появился Boot Cleaner, при установке новой версии , нужно ли сначала удалять старый Boot Cleaner,или не важно ? По логике лучше сначала удалить , хотя в прошлый раз я забыл ;D

Вопрос , так как теперь появился Boot Cleaner, при установке новой версии , нужно ли сначала удалять старый Boot Cleaner,или не важно ? По логике лучше сначала удалить , хотя в прошлый раз я забыл ;D
Boot Cleaner самоуничтожается после срабатывания, а при очередной активации из базы извлекается свежая версия. Поэтому при обновлении AVZ ничего делать не нужно - все произойдет автоматом.

По поводу ревизора. После сравнения диск <> база, AVZ предлагает с новыми/измененными файлами только "копировать в карантин" или "удалить". Было бы не плохо иметь еще кнопку "Проверить", которая позволяет проверить данные отклонения (по принципу "Область поиска" -> "Пуск").

Выполнил такой скрипт:

begin
if GetAVZGuardStatus then
AddToLog('AVZ PM активен')
else
AddToLog('AVZ PM не активен');
end.

Отчет: AVZ PM не активен.
Вопрос: AVZ PM не работает? Тогда почему в логах такое сообщение?
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен

Выполнил такой скрипт:

Отчет: AVZ PM не активен.
Вопрос: AVZ PM не работает? Тогда почему в логах такое сообщение?
В справке опечатка - в примере должно быть "if GetAVZPMStatus then "

В справке опечатка - в примере должно быть "if GetAVZPMStatus then "
AVZ PM активен. :)

to aintrust
Принимается - логи и отчет я покрашу в разные цвета, в антирутките какой-то глюк с проверкой драйверов по базе безопасных - поймаю и исправлю. По поводу цветов все согласны ? Вроде предложенная схема логична. Если возражений/предложений нет, то я ее и реализую.
Цветовая схема отличная - соответствует семафорной, сразу будет интуитивно понятно.. Единственно... может быть, нет смысла вводить дополнительный цвет - синий для безопасных по базе модулей...

Единственно... может быть, нет смысла вводить дополнительный цвет - синий для безопасных по базе модулей...
Речь идет о дополнительном цвете для списка безопасных модулей, который в дальнейшем (когда Олег это реализует - если он, конечно, вообще собирается это когда-либо реализовать) будет создавать сам пользователь, причем только у себя на компьютере. Этот список изначально не может считаться "доверенным" - ведь пользователь по ошибке может включить туда и что-то зловредное. По этой причине модули из этого списка надо выделять другим цветом по сравнению с модулями из стандартного списка безопасных, поставляемого вместе с AVZ. Этот новый цвет будет означать лишь то, что пользователь в курсе того, что данный модуль "делает у него компьютере". Это важно также для тех, кто будет анализировать присылаемые логи, чтобы дополнительно не спрашивать у пользователя, сам ли он устанавливал то-то и то-то. Понятно, что существующий вид логов (его теперешнюю "раскраску" в оттенках оранжевого) также, видимо, придется изменить.

PS. Вообще-то, это пока лишь предложение для обсуждения. Просто тот вариант "раскраски", который существует сейчас, не слишком-то меня устраивает, не знаю как остальных. Так что давайте обсуждать - ведь для себя же, в том числе, стараемся!

Полностью согласен с классификацией aintrust про индикацию.Полезное нововведение было бы.;)
Теперь все зависит от Олега:)

У AVZ версии 4.19 и ниже команда avz.exe AG=Y работает нормально.
У 4.20 и выше выполнение этой команды приводит к нарушению доступа
типа "Exception EAccessViolation in module avz.exe at 00197E9C
Access violation at address 00597E9C in module 'avz.exe'
Read of address 0000062C".

У AVZ версии 4.19 и ниже команда avz.exe AG=Y работает нормально.
У 4.20 и выше выполнение этой команды приводит к нарушению доступа
типа "Exception EAccessViolation in module avz.exe at 00197E9C
Access violation at address 00597E9C in module 'avz.exe'
Read of address 0000062C".
Видимо какой-то глюк ... я внес его в базу глюкв для проверки, спасибо.

Речь идет о дополнительном цвете для списка безопасных модулей, который в дальнейшем (когда Олег это реализует - если он, конечно, вообще собирается это когда-либо реализовать) будет создавать сам пользователь, причем только у себя на компьютере. Этот список изначально не может считаться "доверенным" - ведь пользователь по ошибке может включить туда и что-то зловредное. По этой причине модули из этого списка надо выделять другим цветом по сравнению с модулями из стандартного списка безопасных, поставляемого вместе с AVZ....
PS. Вообще-то, это пока лишь предложение для обсуждения. Просто тот вариант "раскраски", который существует сейчас, не слишком-то меня устраивает, не знаю как остальных. Так что давайте обсуждать - ведь для себя же, в том числе, стараемся!

Ясно. Согласен с предложенной вами классификацией модулей и цветовой схемой.

Это конечно мелочь,
Меню Файл -> Выполнить скрипт
окно диалога - Запуск скрипта
кнопка - Запустить
Лучше одно слово использовать везде Выполнить или Запустить.

Меню Файл -> Модули пространства ядра
заголовок - 133786169

Не плохо бы логи тоже архивировать с паролем. А то на работе у нас антивирус считает их подозрительными и не даёт скачать.

Не плохо бы логи тоже архивировать с паролем. А то на работе у нас антивирус считает их подозрительными и не даёт скачать.
Это можно и нетрудно ... я сделаю в 4.24 такое.
Так что по цветам ? Если возражений по идеалогии не, то я введу такую фичу.
Второй вопрос - нужно ли делать "собственную базу безопасных" - т.е. базу, открытую пользователю для поплнения.

Второй вопрос - нужно ли делать "собственную базу безопасных" - т.е. базу, открытую пользователю для поплнения.Нужно, но в логах они должны присутствовать.

Не плохо бы логи тоже архивировать с паролем. А то на работе у нас антивирус считает их подозрительными и не даёт скачать.
Однако, странный же у вас а-вирус... Если не секрет, то как этого "героя" зовут?

Второй вопрос - нужно ли делать "собственную базу безопасных" - т.е. базу, открытую пользователю для поплнения.
Затронут ли эти "цветовые" изменения также и файлы отчетов, которые AVZ генерит автоматически? Там сейчас 2 оттенка оранжевого - неплохо, в общем. Но теперь становится не 2 цвета, а 4 (как минимум). Что скажешь по этому поводу?

Затронут ли эти "цветовые" изменения также и файлы отчетов, которые AVZ генерит автоматически? Там сейчас 2 оттенка оранжевого - неплохо, в общем. Но теперь становится не 2 цвета, а 4 (как минимум). Что скажешь по этому поводу?
Попрос не совсем по адресу - я цвета не совсем хорошо различаю :) Я думаю убрать текущую раскраску, и сделать по новому - всюду однотипно. У AVZ шаблоны оформления у всех модулей общие, что позволяет централизаванно их менять. Вообще в идеале если бы кто-то сделал HTML шаблон-пример с оформлением - было бы отлично, можно было бы выбрать шаблон оформления и его вмонтировать в AVZ.
Пример вариантов шаблона - в архиве

Первый вариант предпочтительней, только цвета помягче, не такие агрессивные. Или ненасыщенные :)

Однако, странный же у вас а-вирус... Если не секрет, то как этого "героя" зовут?
Не знаю точно. Что-то у нас проверяет ХТТП трафик на входе. Некоторые жабаскрипты невинные режет, и логи, вот.

Думаю, фон отчета должен быть однотипный, желательно светлый(как сейчас), но может быть с некоторыми небольшими градиентами, для разделения строк отчета, как это бывает в форумах, чтобы не рябило в глазах. А цветовой маркер модуля поместить в первом поле. Вот только какой формы? Или полностью закрашивать ячейку, или проставлять какой-нибудь ромб, шарик, звездочку-снежинку (*)...
------
а в самом софте, при просмотре процессов и других данных, "зловредность" показывать цветом шрифта, и при переходе на активную строку цветом фона.

Мне вариант #3 вполне нравится. Я, правда, не большой любитель цветного фона ("матово-молочный" белый - forever!), но в принципе, согласился бы, если бы чередующиеся строки имели разный оттенок одного "светлого" цвета. Мне нравятся, к примеру, варианты фона светло-зеленого или переходного к светло-голубому (типа очень светлой морской волны) цвета или, другой вариант, чередование "мягкий белый - светло-серый". Что касается 1-й ячейки - все ОК, отлично видать даже издалека! :P

Олег, заметил сегодня одну интересную вещь с локализацией. :) Залезал во вторую стадию Отложенного удаления - смотрел диалоговое окно для описания в хелпе - и выбрал один из хранящихся у меня на Рабочем столе скриптов. Папка называется "Скрипты лечения".

Теперь смотрите на скрине, что получилось :)

Папка называется "Скрипты лечения".
Нехорошо получилось... Должно быть: "...\Scriptы of healing\..."! ;)

Нехорошо получилось... Должно быть: "...\Scriptы of healing\..."! ;)
Угу - в AVZ есть статическая локализация и динамический переводчик. Вот последний и безобразничает - увидел смесь русского и английского и решил ее перевести. Надо подумать, как это побороть.

Мне вариант #3 вполне нравится. Я, правда, не большой любитель цветного фона ("матово-молочный" белый - forever!), но в принципе, согласился бы, если бы чередующиеся строки имели разный оттенок одного "светлого" цвета. Мне нравятся, к примеру, варианты фона светло-зеленого или переходного к светло-голубому (типа очень светлой морской волны) цвета или, другой вариант, чередование "мягкий белый - светло-серый". Что касается 1-й ячейки - все ОК, отлично видать даже издалека! :P
Вот и я считаю, что вместо покраски всей строки красить только первую ячейку (и быть может помещать туда какой-то зачок типа "+", "?", "!") и остальную строку делать одноцветной. Иначе глаза рябит от разноцветного протокола.

Вот и я считаю, что вместо покраски всей строки красить только первую ячейку (и быть может помещать туда какой-то зачок типа "+", "?", "!") и остальную строку делать одноцветной. Иначе глаза рябит от разноцветного протокола.

Мне тоже третий вариант более всего приглянулся.
идея со значками, также хороша, с ними можно цвета сделать менее насыщенными.

Первый вариант предпочтительней, только цвета помягче, не такие агрессивные. Или ненасыщенные :)
Согласен с Антоном. Как пример - PE Руссиновича.

Олег, вот еще момент. У нас тут Haxdoor: http://forum.kaspersky.com/index.php?showtopic=29045 В протоколах нет ни одного упомянутого пользователем драйвера. :( Мне глаза изменяют, или Каспер мешает, или вир хитрый, или?.. :)

А почему бы не сделать в меню AVZ пункт "Отблагодарить" со номерами вэбмани кошельков и т.п.? Я бы сделал :).

Олег, вот еще момент. У нас тут Haxdoor: http://forum.kaspersky.com/index.php?showtopic=29045 В протоколах нет ни одного упомянутого пользователем драйвера. :( Мне глаза изменяют, или Каспер мешает, или вир хитрый, или?.. :)
Я бы в том случае задумался над файлами:
D:\WINDOWS\userinit.exe
D:\WINDOWS\СТFМОN.EXE
xmm13g.dll
А драйвера может быть не видно - его может KAV блокировать или он стаыится до KAV и мы не видими в логе его перехватов (а видим перехват KAV).

А почему бы не сделать в меню AVZ пункт "Отблагодарить" со номерами вэбмани кошельков и т.п.? Я бы сделал :).
Принципиальная позиция :) Негоже наживаться на пострадавших от компьютерного зверья

Я имел в виду, что в списке драйверов не отображается. :) Видимо, правда мешает Каспер :)

Согласен с Антоном. Как пример - PE Руссиновича.

Скажите - различают как-то процессы в PE по цветам? Или просто случайная выбор для подсветки строк?

Если будет подсвечена вся строка, это будет удобнее, не надо будет возвращаться глазами к началу строки, чтоб посмотреть на цвет. Но цвета должны быть мягкие, ненасыщенные.
Можно вот такие

Может быть, тогда имеет смысл сделать настроечную цветовую схему для выбора пользователем: различать модули по цветовому маркету, различать модули по цветовому фону?
-------
правда, у Helper-ов, возможно, будут разные предпочтения. :).

Если будет подсвечена вся строка, это будет удобнее, не надо будет возвращаться глазами к началу строки, чтоб посмотреть на цвет. Но цвета должны быть мягкие, ненасыщенные.
Можно вот такие
Это вариант мне тоже нравится. Мягко и вполне наглядно.

Скажите - различают как-то процессы в PE по цветам? Или просто случайная выбор для подсветки строк?
Различают. См. "Options" / "Configure Highlighting..." в меню Process Explorer - там указано, что означает каждый из цветов фона. Фон можно выбрать как по цвету, так и просто отменить вообще.


Может быть, тогда имеет смысл сделать настроечную цветовую схему для выбора пользователем: различать модули по цветовому маркету, различать модули по цветовому фону?
-------
правда, у Helper-ов, возможно, будут разные предпочтения. :).
Нет, этого делать нельзя по вполне понятным соображениям: тогда хелперы не разберутся, что означает каждый из цветов в логе. Цвета д.б. заранее оговоренными, чтобы не возникало вопросов.

а если ещё побледнее (первые две колоночки...)

Различают. См. "Options" / "Configure Highlighting..." в меню Process Explorer - там указано, что означает каждый из цветов фона. Фон можно выбрать как по цвету, так и просто отменить вообще.

Спасибо, посмотрю.



Нет, этого делать нельзя по вполне понятным соображениям: тогда хелперы не разберутся, что означает каждый из цветов в логе. Цвета д.б. заранее оговоренными, чтобы не возникало вопросов.

сами цвета оставить так как было уже выбрано: единственно: способ обозначения выбирать: либо маркером в первом столбце, либо подкраской фона. Как вариант.

а если ещё побледнее (первые две колоночки...)
Оно побледнее, но как-то "агрессивнее" что ли. Хотя это только мое "ИМХО" :) Текст на нем хуже читается. Опять же, ИМХО.

Я бы тоже согласился с первым вариантом, где цвета немного поярче/насыщеннее. Моим глазам так "более удобно"... ;)

единственно: способ обозначения выбирать: либо маркером в первом столбце, либо подкраской фона. Как вариант.
Я знаю, что на это скажет Олег: "это же анти-вирусный инструмент, а не графический редактор!" ;) По мне так, если честно, все равно, какой вариант будет выбран, лишь бы все было более-менее однозначно.

Я знаю, что на это скажет Олег: "это же анти-вирусный инструмент, а не графический редактор!" ;) По мне так, если честно, все равно, какой вариант будет выбран, лишь бы все было более-менее однозначно.

Главное, чтобы первый ком (вариант) оказался блином. :). Угадать с цветами с первого раза всегда бывает трудно. Глаза должны привыкнуть к цвету. На восприятие программы это очень сильно влияет. Если неудачной бывает цветовая схема - не вполне приятно работать с программой.
-------
на virusinfo отличная цветовая схема. Это добавляет ему популярности. :).

Олег а можно что бы у драйвера немного более осмысленное название было, а то иной раз не поймёшь руткит затисался или драйвер от AVZ=))

Ego1st, полагаю, тебя устроит название "eto_drajver_AVZ.sys"? :D

нет зачем-же просто что-то типа AtrwV544Z.sys хотябы что бы пресутствовали буквы avz и сразу понятно становиться..

нет зачем-же просто что-то типа AtrwV544Z.sys хотябы что бы пресутствовали буквы avz и сразу понятно становиться..
На мой взгляд, "проблема" с этими псевдо-случайными именами файлов драйверов AVZ - несколько надуманная, т.к. они во всех окнах и отчетах показываются зеленым (безопасным) цветом, так что с руткитом их никак не перепутаешь! Для большинства пользователей этой цветовой индикации вполне достаточно для того, чтобы не обращать на эти драйверы никакого внимания.

Другое дело - идентификация этих драйверов как принадлежащих AVZ. Тут, пожалуй, есть рациональное зерно в вашем предложении насчет "прошивки" хаотично разбросанных символов A, V и Z в именах этих файлов. В общем, поддерживаю!

На мой взгляд, "проблема" с этими псевдо-случайными именами файлов драйверов AVZ - несколько надуманная, т.к. они во всех окнах и отчетах показываются зеленым (безопасным) цветом, так что с руткитом их никак не перепутаешь! Для большинства пользователей этой цветовой индикации вполне достаточно для того, чтобы не обращать на эти драйверы никакого внимания.

так я не для себя, это я говорю о логах (что-то я в них зеленого цвета вообще не видел), когда смотришь по ним, непонятно к кому относиться драйвер..

Другое дело - идентификация этих драйверов как принадлежащих AVZ. Тут, пожалуй, есть рациональное зерно в вашем предложении насчет "прошивки" хаотично разбросанных символов A, V и Z в именах этих файлов. В общем, поддерживаю!
Когда зловреды будут знать, что когда в имени драйвера обязательно есть эти буквы, это будет не совсем хорошо.

Олег, предложение из разряда "для ленивых" =) Можно через скрипт реализовать отключение System Restore? =))

так я не для себя, это я говорю о логах (что-то я в них зеленого цвета вообще не видел), когда смотришь по ним, непонятно к кому относиться драйвер..
Если речь идет о логе в главном окне AVZ, то, действительно, там сейчас нет цветовой индикации безопасных модулей (хотя я сильно ратую за то, чтобы она там была!), однако ничто не мешает заглянуть в окно "Модулей пространства ядра" и увидеть там зеленый цвет этих драйверов. Если же мы говорим о протоколах "Исследования системы", то там цветовая индикация присутствует, и все "безопасные" драйверы показываются более светлым оттенком фона.

Так что, в принципе, никаких проблем, кроме относительного неудобства в первом случае...


Когда зловреды будут знать, что когда в имени драйвера обязательно есть эти буквы, это будет не совсем хорошо.
А ничего страшного в этом нет. Ну, будут там эти буквы, разбросанные по имени в беспорядке, и что? Зловред станет искать их по файловой маске, чтобы сделать атаку на этот драйвер или сам AVZ? Вряд ли, да и ненадежно это (можно перепутать с любым другим драйвером, в имени которого случайно встретятся эти буквы)... =)

Построить реальную атаку против самого AVZ и/или его драйверов сейчас можно гораздо более простыми методами, например:
- делая поллинг CreateFile с именем симлинка на драйвер AVZ (см., кстати, примеры в моем блоге, посвященные "убиению" AVZ - там использован этот метод контроля запуска AVZ);
- отслеживая создание ключей в ветви HKLM\System\CurrentControlSet;
- отслеживая вызов NtLoadDriver и т.д.
Вариантов на самом деле очень много, от простых до сложных, в зависимости от поставленной задачи - было бы желание, как говорится.

Как я уже многократно писал ранее, основная проблема всех "детекторов", что запускаются на уже зараженной машине (типа AVZ или любого детектора руткитов) состоит именно в том, что зловред/руткит к моменту такого запуска полностью контролирует систему и может как разрешить, так и запретить все, что угодно. "Запоздалые" попытки загрузки более серьезных средств борьбы (типа модулей AVZGuard, AVZPM или AVZBC) могут легко быть блокированы - и, увы, ничего с этим не поделаешь, c'est la vie. Тут как в старой поговорке: "Кто первый встал, того и тапки...". =)

Здравствуйте!
не нашёл подходящеё темы для размещения своего вопроса т.к. тема "Чаво" закрыта, посему, если разместил не там, прошу извинить.

Подскажите, вот скачал с сайта AVZ 23 версии, запустил но мне пишет что не установлен драйвер мониторинга AVZPM и проверка не будет производиться"...что сие значит и как тогда установить этот драйвер?..

Заранее спасибо.:?

Здравствуйте!
не нашёл подходящеё темы для размещения своего вопроса т.к. тема "Чаво" закрыта, посему, если разместил не там, прошу извинить.

Подскажите, вот скачал с сайта AVZ 23 версии, запустил но мне пишет что не установлен драйвер мониторинга AVZPM и проверка не будет производиться"...что сие значит и как тогда установить этот драйвер?..

Заранее спасибо.:?
Меню "AVZPM", там пункт "Установить драйвер расширенного мониторинга процессов". После установки драйвера этот пункт заблокируется и разблокируются два других - "Удалить драйвер расширенного мониторинга процессов" и "Удалить и выгрузить драйвер расширенного мониторинга процессов". Для полноты картины после установки драйвера рекомендуется перезагрузиться

Спасибо!

Олег, скажыте пожалуйста, как узнать почему файл не добавился в карантин?

Олег, скажыте пожалуйста, как узнать почему файл не добавился в карантин?
Если файл опознается как безопасный - то его добавление в карантин блокируется.

Менеджер внедренных DLL показал:winspool.drv- подозрение на keylogger или троянскую DLL.Winspool.drv работает в сервисе Spoolsv.exe.В system32 есть Winspool.exe , в свойствах которого указано:Windows 16-bit WoW Psuedo printer Driver(loaded as winspool.drv) производитель-Microsoft Corp.Winspool.exe, Winspool.drv прошли контроль подлинности по AVZ но в справочнике по процессам CompoWiki winspool.exe-Spyware от CWS.Помогите разобраться-чему верить!

Менеджер внедренных DLL показал:winspool.drv- подозрение на keylogger или троянскую DLL.Winspool.drv работает в сервисе Spoolsv.exe.В system32 есть Winspool.exe , в свойствах которого указано:Windows 16-bit WoW Psuedo printer Driver(loaded as winspool.drv) производитель-Microsoft Corp.Winspool.exe, Winspool.drv прошли контроль подлинности по AVZ но в справочнике по процессам CompoWiki winspool.exe-Spyware от CWS.Помогите разобраться-чему верить!
"справочник по процессам" можно выкинуть - толку от него нуль, так как судить о вредоносности процесса по имени исполняемого файла и копирайтам нельзя. А они каким цветом его показывает AVZ ? Если зеленым, то файл безопасен.

зеленым.Значит можно считать что AVZ перестраховывается? Я имею ввиду сообщение" подозрение на keylogger или троянскую DLL." В любом случае это делаетAVZ честь.

Ниже сообщение из фидошной конференции AVP.SUPPORT.
Serg Ageev в борьбе с вирусами, безусловно, чайник и многого попросту не представляет. Хотя, думаю, это тоже интересно - как новичок воспринимает AVZ.
Привожу сообщение тут, поскольку сообщаемые им проблемы - имхо, не просто подземный стук, имеют место быть.
У меня тоже не отключаемый по полгода NT4 server после запуска AVZ (без работы в нем, запускал лишь для проверки синтаксиса скриптов) через неделю после его запуска благополучно помер.
Началось это так: при очередном запуске AVZ окно не появилось, в процессах он висел. Попробовал убить виндовым таскменеджером - вроде убился (исчез из списка процессов). Через неделю сообщение винды о нехватке памяти. Программы выгрузил - память освободилась, всего мегабайт на 70 больше обычного. Стал запускать опять - тормозят жутко, виснут.
Перезагружаться винда отказалась - потребовала сначала завершить выполняемый с debug привилегиями программу, а завершать было нечего.
Пришлось жать ресет.
Была мысль о червяке, но уже полторы недели после того машина работает нормально. AVZ там больше не запускал.
У Сержа Win2k, у меня NT4. Он грешит на расширенный драйвер, а я его не ставил, просто запускал AVZ.exe и проверял скрипты.
Возможно, драйвера AVZ не слишком дружат со старыми виндами.



Сооб: 1000 из 1000 -996 AVP.SUPPORT
От : Serg Ageev 2:6056/1 Sun 14 Jan 07 17:17
Кому: Alexey Podtoptalow
Тема: KAV6 - бpед с огpаничениями по ОС
TID: ParToss 1.10.069/HSH/W32 devel
REPLY: 2:6056/1 459fa7cd
MSGID: 2:6056/1 45aa43cf
RealName : Сергей Викторович Агеев
Location : г.Камышин Волгоградской обл., Поволжье.
E-Mail : [email protected] : DEL - вырезать!
ICQ : 141198428
Fingerprint: B2CF 1A49 19FF 3F3B BCD1 FC1E 7F62 78C4
Привет Alexey!

06 января 2007 16:39, Serg Ageev писал Alexey Podtoptalow:

SA>> avz ещё не пробовал, пошёл про него читать...
...
SA> долго я её мучал, пока не догадался глянуть в файервол, так вот
SA> этот авз там Создал ОКОЛО ДвухСот Пятидесяти правил, Запрещающих ВСЁ!

не хотел я его без крайней необходимости больше трогать, да...
принёс клиент убитый (электрически) ноут.
после оживления, решил я посмотреть - чего там внутри водится.
ноут этот инсталлировал я, по своим правилам с инструктированием клиента.
в частности - HЕ работать под админом. для клиента там создан обрезанный юзер.
разумеется, клиент меня так и послушал... ;-)

для начала я стал руками удалять всё из разного рода ТЕМПов.
один файлик удаляться не желает... ;-)
смотрю в процессах - а он запущен. из темпа! ;-)
ну, это явный признак "не земного происхождения"... ;-)
лезу в реестр - нахожу его в РАHе.
ага.
стало интересно, чего ж это такое, что моя версия кава не видит его?
ну, вздохнул, перекрестился и запустил авз.
включил его драйвер, он потребовал перезагрузиться.
перезагрузился.
запустил авз.
попытался повыключать службы - дохлый номер, не в том порядке... надо было СHАЧАЛА всё подготовить, а потом запускать авз.
да и чёрт с ними, от интернета ноут изолирован - и ладно.
запустил проверку.
через полчаса, примерно, ноут выпадает в бсод (ХППро) с ругательством на... ;-) на NTFS.sys!
а обалдел.
потом вспомнил, что на первой, рабочей машине, на которой я пробовал запускать авз, юзеры несколько раз мне говорили, что машина стала "падучей, ругаясь на файловую систему". я сначала решил, что юзеры чего-то напутали - сроду вин2к при мне на разных машинах не ругалась на ФС.
ага.
ладно, загружаю ноут, выгружаю всё "своё": касперского, фаервол и проч..., а затем запустил авз.
"долго дело делается, да недолго сказка сказывается": в итоге был найдет ТОТ самый файл, и "определена его национальность": он оказался... всего-лишь адваре-гатором. ;-(

стоило столько часов мучать машинку... ;-(

попутно я запускал его на своей домашней машине, там тот же кав, но вин2К.
разумеется, я забыл выключить кава, посколько он работает службой и его не видно просто-напросто, потому, что он "без морды".
в результате - авз, с запущенным предварительно драйвером и перезагруженной машиной, просто ПРОПАЛ! исчезло его окно!
я думал, что он банально умер, завершившись.
ан нет, повторно запускаться он отказался...

перезагрузился, также тщательно поостанавливал всё, что можно, запустил авз.
итог: HИЧЕГО не было найдено HОВОГО, то есть того, что HЕ нашёл КАВ.
то, что лежало в ловушке у кав и в специальной вирусной коллекции
(обнаруживаемое кавом) - авз опознал.

после выключения обоих машин и перезагрузки - машины повторно через какое-то время умирают в бсод с ругательством на HТФС.СИС.
;-(
вспоминаю, что забыл Деинсталлировать драйвер авз.
сделал. перезагрузил.
всё заработало стабильно.
пришёл СЮДА ( на /1), запустил авз, посмотрел - точно. драйвер я забыл деинсталлировать.
деинсталлировал, ибо с ним машины HЕ стабильны.
на тех двух машинах я прошёл проверку до конца, на ноутбуке ещё и ревизора запускал.
думаю - надо и первую машину доделать до конца...
запустил авз БЕЗ драйвера.
он сказал, что за пару часов управится.
ну, да ладно, у меня смена двенадцать часов.
итог - через часов семь-восемь авз стал жутко грести.
типа - "беру файл такой-то, но проверить его не могу, ибо не могу создать временный файл." причём место под файл указывает верное, то есть, в существующей темповой папке.
потом тормоза на машине резко пропали - пошёл я глянуть, неужели авз закончил?
ан нет.
в его экранный лог на КАЖДЫЙ файл он стал ругаться "внутренняя ошибка
avz.exe по адресу...".
ну, я не стал его дальше мучать, остановил.
он благополучно остановлися, хотя я опасался, что он помрёт от натуги...
полазил я в его настройках - ЗАРАHЕЕ включить ведение лога, похоже, нельзя.
но есть кнопка - "сохранить лог".
нажимаю.
вижу радостное окно винды, Пристрелившей АВЗ! типа "программа не может... и будет..." ;-)
так что, умирающий авз и следов после себя не оставил, в смысле, всю историю с фактами унёс с собой в могилу... ;-))
для окончательной честности скажу, что на последней машине HИЧЕГО из безопасности HЕ выключалось, ибо машина ОHЛАЙHОВАЯ.
поскольку авз при запуске радостно собщил, что "работающие фаерволы и антивирусы, скорее всего, будут повреждены, не забудьте перезагрузиться ПОТОМ", то все эти семь-восемь часов меня "терзали смутные сомнения" - если авз ЗHАЛ, что он ПОЛОМАЕТ антивирус и фаервол, то почему он HЕ СКАЗАЛ СРАЗУ и ЯВHО, что ВЫКЛЮЧИТЕ ИHТЕРHЕТ! ? ;-)
я, например, не понял - после предупреждения машина была "голая" в сети или нет? :-(
после финальной перезагрузки, кажись, всё работает правильно... ;-))


к чему я всё ЭТО?
а вот к чему - инструмент, конечно, интересный, HО.
но использовать его можно ТОЛЬКО в Крайних случаях, и ТОЛЬКО при ЛИЧHОМ присутствии.

тот же КАВ Инспектор - не в пример стабильнее и надёжнее.
от него у меня HИ разу не умирала машина, причём, как правило, пользуюсь я
им удалённо.

SA> короче, инструмент, вроде, интересный, но Оч-ч-ч-чень опасный.
SA> кроме того, у меня сильно вызвало подозрение то, что он пообещал
SA> проверить ВЕСЬ раздел за полтора часа, когда Касперскому Сканеру на
SA> это потребовалось ДВА ДHЯ (двое суток). ну не бывает чудес, не бывает.
SA> либо это проверка "по списку", либо фиг его знает...

действительно, проверилось довольно быстро, не за два часа, но и не за сутки, а быстрее.
хотя я включал максимальную строгость.
так шта (c) - вызывает подозрения...

SA> отложим пока в сторону инструмент, дабы восстановить душевное
SA> равновесие...

а КАВ - молодець - не позволил себя отстрелить.
да и работать "врагам" не позволил. ;-)))

С уважением Serg.

Возможно, драйвера AVZ не слишком дружат со старыми виндамиСкорее всего.

SA> долго я её мучал, пока не догадался глянуть в файервол, так вот
SA> этот авз там Создал ОКОЛО ДвухСот Пятидесяти правил, Запрещающих ВСЁ!
Интересно,какие такие правила создал AVZ ? :O Я, правда с фаером не запускал AVZ, но с NOD он не конфликтовал.

перезагрузился, также тщательно поостанавливал всё, что можно, запустил авз.
итог: HИЧЕГО не было найдено HОВОГО, то есть того, что HЕ нашёл КАВ.
то, что лежало в ловушке у кав и в специальной вирусной коллекции
(обнаруживаемое кавом) - авз опознал.
Неуместное сравнение. Это что - показатель крутизны KAV по сравнениию с AVZ или что?

SA> короче, инструмент, вроде, интересный, но Оч-ч-ч-чень опасный.
SA> кроме того, у меня сильно вызвало подозрение то, что он пообещал
SA> проверить ВЕСЬ раздел за полтора часа, когда Касперскому Сканеру на
SA> это потребовалось ДВА ДHЯ (двое суток). ну не бывает чудес, не бывает.
SA> либо это проверка "по списку", либо фиг его знает...

действительно, проверилось довольно быстро, не за два часа, но и не за сутки, а быстрее.
хотя я включал максимальную строгость.
так шта (c) - вызывает подозрения
Абсолютно не согласен.Скорость сканирования и его время может меняться от разных причин( от настройки сканера,типа и количества файлов,железа, ну и мало ли чего).
Помню, когда у меня была засорена папка документы и особенно темповая,то время сканирования было долгим.Стоило мне удалить мусор оттуда, AVZ (да и не только) сразу же уменьшил время сканирования на 30-40%.
А про опасность вообще странно слышать, пользовался 1 раз и такие выводы сразу.Про AVZ Guard ясно сказано, что нельзя запускать вместе с другими приложениями.А обычный режим настроен только на анализ , а не лечение или удалениe.

Как обычно - товарищ решил, что все знает без справки, и ринулся в бой, а теперь еще жалуется. :) Однако, вероятно, стоило бы изучить поведение AVZPM на старых системах :)

SA> долго я её мучал, пока не догадался глянуть в файервол, так вот
SA> этот авз там Создал ОКОЛО ДвухСот Пятидесяти правил, Запрещающих ВСЁ! Какая глупость. АВЗ не создаёт правила.

Как обычно - товарищ решил, что все знает без справки, и ринулся в бой, а теперь еще жалуется. :) Однако, вероятно, стоило бы изучить поведение AVZPM на старых системах :)
Я видел такую ситуацию, это типовой случай - у бедолаги явно пара троянов + гнилое железо + ненастроенный KAV 6 с включенной проактивкой. Все это помножено на полное непонимание того, что и где он делал, отсюда и подобные опусы :)

Как обычно - товарищ решил, что все знает без справки, и ринулся в бой, а теперь еще жалуется. :) Однако, вероятно, стоило бы изучить поведение AVZPM на старых системах :)
Угу. Но не только AVZPM, но и обычного драйвера, который он ставит при запуске. Думаю, у меня NT4.0 server sp6a неслабо повис как раз из-за него, расширенный драйвер я не устанавливал.
Машина чистая, в корпоративной локалке. Троянов там отродясь не было и не предвидятся.
Железо старое, но очень качественное. PII-266, 256 RAM, диск 4 Гб сказевый.

Нет, давайте не валить все в одну кучу. Проблема, описанная вами с Windows NT4, может быть никак не связана с тем, что вы сюда запостили из Фидо (про тот случай я не буду говорить - ибо кроме улыбки он ничего не вызывает).


Угу. Но не только AVZPM, но и обычного драйвера, который он ставит при запуске.
Начнем с того, что при запуске AVZ не ставит драйверов (никаких!), и если вы запускали AVZ только с целью проверки скриптов, то грешить на драйвер(-ы) просто бессмысленно. Свой основной драйвер (тот, что раньше звался avz.sys) AVZ ставит только тогда, когда вы нажимаете кнопку "Пуск" и дело доходит до проверки перехватов в SSDT, о чем свидетельствует сообщение:


1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен



Думаю, у меня NT4.0 server sp6a неслабо повис как раз из-за него, расширенный драйвер я не устанавливал.
Вот и надо сначала прояснить, у вас драйвер устанавливался или нет. Более того, по окончании своей работы AVZ динамически выгружает драйвер, поэтому при каждом последующем запуске все происходит как с чистого листа.

Поэтому к вам вопрос: так все-таки драйвер у вас загружен (т.е. вы нажимали кнопку "Пуск") или нет?

Нет, давайте не валить все в одну кучу. Проблема, описанная вами с Windows NT4, может быть никак не связана с тем, что вы сюда запостили из Фидо (про тот случай я не буду говорить - ибо кроме улыбки он ничего не вызывает).

Не совсем так. В той куче наивной ерунды всё же есть тревожные моменты, и мне они здорово напомнили мой случай. Потому и написал.


Начнем с того, что при запуске AVZ не ставит драйверов (никаких!), и если вы запускали AVZ только с целью проверки скриптов, то грешить на драйвер(-ы) просто бессмысленно. Свой основной драйвер (тот, что раньше звался avz.sys) AVZ ставит только тогда, когда вы нажимаете кнопку "Пуск" и дело доходит до проверки перехватов в SSDT, о чем свидетельствует сообщение:


1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен

Вот и надо сначала прояснить, у вас драйвер устанавливался или нет. Более того, по окончании своей работы AVZ динамически выгружает драйвер, поэтому при каждом последующем запуске все происходит как с чистого листа.

Поэтому к вам вопрос: так все-таки драйвер у вас загружен (т.е. вы нажимали кнопку "Пуск") или нет?
Я уже и сам сомневаюсь - может, и запустил разок. Но пробовать повторить на той машине боязно, мне и так в тот раз на рождество пришлось ехать на работу поднимать эту машину.

Прошу прощения, если я пишу не в эту тему, но, вроде бы пошла новая эпидемия червей - я выслал образец. Когда примерно планируется обновление базы - я только что проверял - вроде до сих пор не определяет...

И сюда ли я пишу?

Спасибо! :)

И сюда ли я пишу?

[email protected] Отправлять в .zip-архиве, пароль virus.

Речь видимо идет о новом Email-Worm.Win32.Warezov - он добавлен в базу, завтра утром он станет детектироваться.

Не совсем так. В той куче наивной ерунды всё же есть тревожные моменты, и мне они здорово напомнили мой случай. Потому и написал.
Среди всех этих эмоций вашего знакомого постоянно проскальзывает одно и то же: упоминание о каком-то драйвере AVZ, который он все время или включает, или же потом забывает выключить, и который, по его словам, провоцирует падение системы в синьку с ругательствами на ntfs.sys (может, он сам сюда придет и запостит хотя бы минидамп?). О каком именно из драйверов AVZ идет речь, ведь их у него четыре? Вы-то сами, прочитав весь этот "поток сознания" в Фидо, сможете мне ответить на этот простой вопрос?

Кстати, если честно, я совершенно не понимаю вашего знакомого, который вместо того, чтобы об этом рассказать тут, на форуме, или непосредственно Олегу, все написал только в Фидо. Смысл-то какой был?


Я уже и сам сомневаюсь - может, и запустил разок. Но пробовать повторить на той машине боязно, мне и так в тот раз на рождество пришлось ехать на работу поднимать эту машину.
AVZ - это некоммерческий продукт, и использовать его в ответственных случаях можно только на свой страх и риск, об этом много раз уже говорилось и писалось. Хотя база пользователей у продукта большая, тем не менее есть конфигурации (типа вашей - старый компьютер + старая операционка), на которой он не так уж сильно проверялся. Вполне вероятно, что там действительно есть проблемы! И надо их искать, кто же спорит. А вы, как инициатор разговора, готовы взяться за это - все проверить в разных вариантах работы, в различных конфигурацих драйверов и потом отписаться тут? =)

Олег, в скриптах не может быть переменных в адресе на DeleteFile? У нас неуловимый драйвер, который постоянно переименовывается, и все, что о нем известно, - его имя начинается с а и в нем восемь, что ли, знаков. DeleteFile('C:\Windows\system32\drivers\a???????.s ys') не прокатит?

Это чревато, под раздачу могут попасть вполне легитимные драйвера. У себя насчитал парочку с семью знаками, парочку с десятью, и штуки четыре покороче.

Олег, в скриптах не может быть переменных в адресе на DeleteFile? У нас неуловимый драйвер, который постоянно переименовывается, и все, что о нем известно, - его имя начинается с а и в нем восемь, что ли, знаков. DeleteFile('C:\Windows\system32\drivers\a???????.s ys') не прокатит?
Прямо d&#233;ja-vu... =) А, случаем, последний Алкоголь там не установлен? Вот он точно ставит в динамике мини-порт драйвер SCSI со случайным именем, начинающимся на букву 'a', а потом стирает и его файл, и запись в реестре. Кстати, тут же, на Virusinfo, это и обсуждалось (смотрите здесь: Неуловимый руткит (http://virusinfo.info/showthread.php?t=7387)). Если нет Алкоголя, то пришлите сюда дамп этого драйвера (AVZ умеет это делать), посмотрим на него. Правда, если внутри дампа найдете строку vaxscsi.sys или dtscsi.sys - можете не присылать.

PS. Если ситуация более сложная - шлите сюда логи, а лучше и самого товарища, у которого проблемы. Я уважаю ваше стремление "практиковать" с помощью AVZ на стороне =), но все-ж таки именно здесь находится форум с официальной поддержкой продукта и множество спецов (в т.ч. и сам автор утилиты), которые имеют серьезную практику в вопросах лечения компьютеров. А иначе количество "проблем" типа той, о которой писал вчера Alexey P., будет расти до бесконечности.

OK, попробуем :) Если уж народ приходит на KL Forum - можно лечить и там (как правило, один скрипт, и все готово ;) ), ну, а если что-то серьезное, переадресовать товарища всегда можно ;) Пробовали пока закарантинить, если не выйдет - будем дампировать. :)

OK, попробуем :) Если уж народ приходит на KL Forum - можно лечить и там (как правило, один скрипт, и все готово ;) ), ну, а если что-то серьезное, переадресовать товарища всегда можно ;) Пробовали пока закарантинить, если не выйдет - будем дампировать. :)
ОК, делайте дамп и постите его сюда. Я понял правильно, что Алкоголь там не установлен?

Что касается форума ЛК, то, на мой взгляд, довольно забавно, что на форуме компании, выпускающий коммерческие продукты как раз для борьбы с компьютерной заразой, диагностика и лечение зачастую осуществляется бесплатными утилитами со стороны. =)

А частично даже посредством утилиты прямого конкурента :)

Насчет Alcohol не помню. :) Сейчас я не на компьютере - когда смогу, гляну в лог. :) Ну, а насчет форума - что поделаешь, Касперский тоже не всесилен :) Кстати, на форуме уже звучали предложения к ЛК - купить AVZ :D

Кстати, на форуме уже звучали предложения к ЛК - купить AVZ :D
Так если бы только на форуме... Впрочем, это уже не моя "юрисдикция"... =)

Олег глянь лог
http://virusinfo.info/showthread.php?t=7515
Там похоже кекой-то руткит. И потом, удалённая адварь в папке Нортона... Странно.

Олег глянь лог
http://virusinfo.info/showthread.php?t=7515
Там похоже кекой-то руткит. И потом, удалённая адварь в папке Нортона... Странно.
Перехваты не очень похожи на руткит - скорее это защита процесса от манипуляций с ним, судя по функциям. C:\WINDOWS\system32\drivers\Haspnt.sys - это драйвер HASP ключей. Тут другое дело - нужно нужно по имени файла поискать, есть ли в нортоне вообще файл Norton Security Center\LUREGWMI.EXE - я это сделать не могу, Нортона под рукой нет.

Перехваты не очень похожи на руткит - скорее это защита процесса от манипуляций с ним, судя по функциям. C:\WINDOWS\system32\drivers\Haspnt.sys - это драйвер HASP ключей. Тут другое дело - нужно нужно по имени файла поискать, есть ли в нортоне вообще файл Norton Security Center\LUREGWMI.EXE - я это сделать не могу, Нортона под рукой нет.
А открытое соединение на 110 порт без имени процесса?

Ну, а насчет форума - что поделаешь, Касперский тоже не всесилен :) Кстати, на форуме уже звучали предложения к ЛК - купить AVZ :D
:) Или воткнуть в AVZ "Авторизованный партнер ЛК" :) Последнее кстати в теории возможно, правда при условии, что для изучения ПК пострадавших в их конференции они положат архив у себя на сервере. У меня кстати с начала месяца намоталось 205 ГБ трафика ...

А открытое соединение на 110 порт без имени процесса?
Соединение по 110 порту - это же POP3 - забор почты, а не ее рассылка. Поэтому спам-бот вроде отпадает, значит это либо висячее соединение, либо некий зловред открыл порт 110 для своиз нужд. Этому человеку видимо стоит активировать AVZPM, перезагрузиться и повторить логи с ним. Сейчас я отпишу в той теме

Соединение по 110 порту - это же POP3
Угу, перепутал

есть ли в нортоне вообще файл Norton Security Center\LUREGWMI.EXE - я это сделать не могу, Нортона под рукой нет.
Да, это приблуда от Live Update & Live Registration

Олег, есть два пожелания по доработке логов syscure и syscheck.
1. В списке модулей, как и в списке процессов, добавить столбец "Информация".
2. В списке открытых портов показывать не только имя, но и ID процесса.

Олег!
В теме http://virusinfo.info/showthread.php?t=7533 в логах куча всего известного, но на немецком языке. См. апплеты панели управления.
Нельзя ли их как-нибудь в базе отметить? Наверняка, русские у тебя уже в базе есть.