PDA

Просмотр полной версии : AVZ 4.34-4.35



Страницы : [1] 2 3

Зайцев Олег
08.07.2010, 12:32
Вышла новая версия антивирусной утилиты AVZ - 4.34. Архив с утилитой содержит базу вирусов от 08.07.2010 - 275419 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 374 микропрограмм эвристики, 9 микропрограмм ИПУ, 224 микропрограммы поиска и устранения проблем, 213048 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований.
Основные модификации:
[+++] Новая подсистема расширенного эвристического иследования системы. Запускается в конце исследования
системы, код исследования хранится в обновляемой базе, что позволяет добавлять новые процедуры
исследования без обновления самого AVZ
[+++] Новая подсистема эвристической чистки системы на основе обновляемой базы данных
[+++] XML протокол: в протокол выведены данные менеджера анализатора протоколов и обработчиков, менеджера SPI/LSP,
усовершенствован ряд существующих логов, в XML выведены данные о системе
[+++] Скрипт-язык: новые команды: ClearLog (очистка протокола), ExecuteScript (загрузка и исполнение скрипта),
QuarantineFileF (расширенный карантин по набору условий), ClearQuarantineEx (расширенная чистка крантина),
SysCleanGetFilesList (запрос списка файлов, назначенных на эвристическую чистку),
SysCleanSetFilesList (задание списка файлов для эвристической чистки),
DownloadFile (загрузка файла из Интернет), FTPSendFile (отправка файла на FTP сервер)
[+++] Поддержка x64 (в диспетчере процессов отображается тип процесса, поиск файлов ведется с учетом разрядности процесса,
карантин производится с учетом файлового редиректора (если есть идентичные файлы для x32 и x64, то карантинятся оба файла)
[++] Менеджер автозапуска - добавлен контроль ряда новых ключей
[++] Добавлен режим запуска на отдельном рабочем столе (ключ командной строки NewDsk=Y)
для упрощения борьбы с блокерами-вымогателями
[+] Добавлен ключ командной строки QrOnlyEXE - для активации фильтра, разрешающего помещение в
карантин только EXE файлов
[+] HTML протокол - добавлен дополнительный интерактив в разные точки протокола
[+] Эвристики ИПУ - добавлена запись данных о найденных потенциальных уязвимостях в XML
[-] Исправлен сбой антикейлоггера на Win7
[-] Исправлена ошибка в анализе ключей автозапуска (допускающие множественные значения
параметры с единственным значением анализировались некорректно)
[-] Скрипты - исправлена работа функции DeleteService (были проблемы с удалением ключа службы в реестре)
[-] BootCleaner - удаление файлов с атрибутом ReadOnly не работало как положено
[-] Исправлена работа функции ClearQuarantine
[-] Исправлены незначительные баги в парсере имен файлов

В новой версии примерно в два раза расширена база чистых файлов. Для пополнения базы чистых создана специальная автономная система - http://virusinfo.info/index.php?page=cyberhelper (передать файлы в систему для устранения ложных срабатываний и ополнения базы чистых можно через форму на данном форуме http://virusinfo.info/index.php?page=uploadclean (инструкция и результаты загрузки - http://virusinfo.info/showthread.php?t=3519, для загрузки файлов не требуется регистрация)

Страница загрузки 4.34 (http://www.z-oleg.com/secur/avz/download.php)

PS: мой сайт может тормозить и падать, так как пользователей AVZ куда больше миллиона ...

olejah
08.07.2010, 12:38
Успел быстро скачать и скорость хорошая была, спасибо.

Зайцев Олег
08.07.2010, 12:41
Дополнение - обновился так-же редактор скриптов, сам редактор не менялся, а вот его базы обновлены - для поддержки новых команд скриптязыка. Хелперам советую присмотреться к QuarantineFileF - это новая фича для карантина по нечетким условиям (диапазону размеров, маске имени файла, дате ...) - см. http://z-oleg.com/secur/avz_doc/script_quarantinefilef.htm

gjf
08.07.2010, 12:45
Неделя была (и есть) просто ужасная, но ты умеешь радовать! Спасибо, Олег!

Kuzz
08.07.2010, 13:02
PS: мой сайт может тормозить и падать, так как пользователей AVZ куда больше миллиона ...
Если что - перевыложил сюда: avz4.zip (http://www.drpbk.dp.ua/files/avz4.zip)

Добавлено через 9 минут


Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39]
Ошибка микропрограммы 8
Ooops...

Vadim_SVN
08.07.2010, 13:02
зеркало (http://85.114.9.148:8081/avz4.zip) (временно полежит с месяц точно)
Перезалито в соответствии с п.10 (http://virusinfo.info/showpost.php?p=666990&postcount=10)

NickM
08.07.2010, 13:05
что бы это значило?

лог стандартного скрипта №2,

8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен автозапуск программ с CDROM
Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39]
Ошибка микропрограммы 8
Проверка завершена

ОС WinXP SP3,

+

Пропущен пробел. Ошибка при обработке ресурса ''file:///C:/TEMP/avz434/LOG/avz_sysinfo.xml''. Строка 265,Положение 109

раздел, <RK_IRP> ... </RK_IRP>, пробел между HookPtr и CheckResult

ALEX(XX)
08.07.2010, 13:12
Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39]
Ошибка микропрограммы 8
Есть такое. ОС Win7 x64

Шапельский Александр
08.07.2010, 13:22
Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39]
Ошибка микропрограммы 8
ОС W 2000

Зайцев Олег
08.07.2010, 13:43
Версия перезалита, это был банальный левый символ в скрипте, попал туда перед сборкой баз новой версии ...

Nerimash
08.07.2010, 13:55
а бут-клинер совместим?

Voyka
08.07.2010, 14:00
Подскажите пожалуйста почему при запуске восстановления SPI/LSP - AVZ вылетает, даже при включенном AVZGuard всё равно вылетает, т.е. исчезает но в процессах висит, завершить процесс невозможно поскольку всё заблокировано, приходится перезагружать комп. Если без включенного AVZGuard то AVZ исчезает и в процессах. Решил сделать полное пересоздание настроек SPI но результат тот же через несколько секунд AVZ самозакрывается.

Менеджер LSP выдаёт такие ошибки:

Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 8
Возможны проблемы при работе с сетью и Интернет

Вроде проблем с интернетом нет, менеджер ошибки не исправляет но всё закрывается

Зайцев Олег
08.07.2010, 14:04
а бут-клинер совместим?
Да, полностью

Добавлено через 42 секунды


Подскажите пожалуйста почему при запуске восстановления SPI/LSP - AVZ вылетает, даже при включенном AVZGuard всё равно вылетает, т.е. исчезает но в процессах висит, завершить процесс невозможно поскольку всё заблокировано, приходится перезагружать комп.
А зачем это делается, если не секрет - хелперы посоветовали или как ?

santy
08.07.2010, 14:05
Версия перезалита, это был банальный левый символ в скрипте, попал туда перед сборкой баз новой версии ...

обновил версию, ошибка ушла.


8. Поиск потенциальных уязвимостей
.....
.....
Проверка завершена

Зайцев Олег
08.07.2010, 14:08
обновил версию, ошибка ушла.
Отлично ... если все будет нормально очень скоро эта версия "расползется" по серверам ЛК. Сейчас это вроде бы произошло, я включил редирект, а то мой сайт уже стабильно в статусе "503. Сервис временно недоступен" - все качают :) Просьба проверить, нормально ли сейчас качается

Nerimash
08.07.2010, 14:09
c x64? Пробовал карантинить текстовый файл 1.tmp в корне диска С:. В итоге создались только папка Quarantine и подпапка с датой, и ниодного файла. Вопрос: что я делаю не так?

ПС скрипт:


begin
BC_QrFile('C:\1.tmp');
BC_QrFile('1.tmp');
BC_LogFile(GetAvzDirectory + 'boot.log');
BC_Activate;
RebootWindows(true);
end.

Ни файла лога ни файла с карантином. Только скрипт выполнен без ошибок.

Зайцев Олег
08.07.2010, 14:26
c x64?
Не совместим. Бутклинер совместим с старой версией AVZ, на x64 он не заработает (хотя он там в общем-то и не нужен). В очердной версии вполне вероятно появление BC и Guard для X64

Nerimash
08.07.2010, 14:37
ок :)

Добавлено через 1 минуту

но есть другая особенность. Все также есть проблемы с "ЧИСТЫМИ" файлами. Из секции Drivers только 2 проверенных, при скане AVZ интегрированного в KIS2011 проверенных драйверов уже под 200.

Alex_Goodwin
08.07.2010, 14:39
2. Проверка памяти
Количество найденных процессов: 43
>>> Реальный размер предположительно = 2174976
Анализатор - изучается процесс 5076 D:\malzilla_0.9.3pre5\malzilla.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Количество загруженных модулей: 547
Проверка памяти завершена

>>> Реальный размер предположительно = 2174976
это к чему относится?

Еще фичу нашел: если в окне протокола при зажатой левой кнопки мыши покрутить скролером, то меняется размер шрифта.

Vadim_SVN
08.07.2010, 14:43
Просьба проверить, нормально ли сейчас качается

wget -v --timestamping -P %curdir%avz4_orig\ http://www.z-oleg.com/avz4.zip

--14:41:44-- http://www.z-oleg.com/avz4.zip
=> `D:/!Titan/AVZ_Update/avz4_orig/avz4.zip'
Proxy request sent, awaiting response... 302 Moved Temporarily
Location: http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip [following]

--14:41:44-- http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip
=> `D:/!Titan/AVZ_Update/avz4_orig/avz4.zip'
Proxy request sent, awaiting response... 200 OK
Length: 6а079а521 (5.8M) [application/x-zip]

100%[====================================>] 6а079а521 2.73M/s

14:41:51 (2.73 MB/s) - `D:/!Titan/AVZ_Update/avz4_orig/avz4.zip' saved [6079521/6079521]

olejah
08.07.2010, 14:52
Еще фичу нашел: если в окне протокола при зажатой левой кнопки мыши покрутить скролером, то меняется размер шрифта.

Это и в 4.32 было :)

Karlson
08.07.2010, 15:39
Просьба проверить, нормально ли сейчас качается
только что прилетело на ура

Зайцев Олег
08.07.2010, 15:45
ок :)

Добавлено через 1 минуту

но есть другая особенность. Все также есть проблемы с "ЧИСТЫМИ" файлами. Из секции Drivers только 2 проверенных, при скане AVZ интегрированного в KIS2011 проверенных драйверов уже под 200.
Есть конечно - не все сразу ... модули пространства ядра на x64 адаптированы, список служб и драйверов - в процессе адаптации

Voyka
08.07.2010, 15:46
Сообщение от Voyka
Подскажите пожалуйста почему при запуске восстановления SPI/LSP - AVZ вылетает, даже при включенном AVZGuard всё равно вылетает, т.е. исчезает но в процессах висит, завершить процесс невозможно поскольку всё заблокировано, приходится перезагружать комп. Если без включенного AVZGuard то AVZ исчезает и в процессах. Решил сделать полное пересоздание настроек SPI но результат тот же через несколько секунд AVZ самозакрывается.

Менеджер LSP выдаёт такие ошибки:

Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 8
Возможны проблемы при работе с сетью и Интернет

Вроде проблем с интернетом нет, менеджер ошибки не исправляет но всё закрывается


Сообщение от Зайцев Олег
А зачем это делается, если не секрет - хелперы посоветовали или как ?

Просто во время периодического сканирования AVZ он иногда вылетает, а иногда выдаёт синий экран смерти, вот и пытаюсь понять что к чему.
Поскольку сканирование на вирусы, открытие темы и помощь тут ни каких результатов не приносит.
В безопасном режиме вообще загрузиться невозможно - опять же синий экран. Если это не может быть из за ошибок LSP то я не пойму в чём дело...

NickM
08.07.2010, 15:55
как себя поведет(переименование, удаление, отложенное удаление файла, удаление ключей реестра) АВЗ с файлом из спец символов? например, ♦♥s.exe (alt+4 alt+3) и таким же ключем автозапуска в секции Run.

Зайцев Олег
08.07.2010, 16:08
как себя поведет(переименование, удаление, отложенное удаление файла, удаление ключей реестра) АВЗ с файлом из спец символов? например, ♦♥s.exe (alt+4 alt+3) и таким же ключем автозапуска в секции Run.
В случае полного имени должно в общем-то удалить ... но зловредов таких нет, поэтому извращаться я не пробовал - появятся, будем пробовать :) Но на всякий случай (юникодное имя, спецсимволы и т.п.) в BC давно есть возможность задать любой символ по его коду - это не применялось почти никогда, но есть http://z-oleg.com/secur/avz_doc/script_bc_deletesvcreg.htm

antanta
08.07.2010, 16:10
Зайцев Олег, Не успела выйти новая версия, а мы уже с пожеланиями...
1) Иногда хочется сделать, но не пойму как в скрипте реализовать: поотключать сервисы в соответствии с неким "белым списком", через BC. А может, и файлы поудалять. А то иногда плодятся "суслики".
2) SetBufferByte и т.д. в принципе не планируется?
3) Отправлял сегодня Вам в ПМ свой способ автозапуска. Где-то затерялось в потоке, или просто не до сук, с выпуском новой версии?

Зайцев Олег
08.07.2010, 16:28
Зайцев Олег, Не успела выйти новая версия, а мы уже с пожеланиями...
1) Иногда хочется сделать, но не пойму как в скрипте реализовать: поотключать сервисы в соответствии с неким "белым списком", через BC. А может, и файлы поудалять. А то иногда плодятся "суслики".
2) SetBufferByte и т.д. в принципе не планируется?
3) Отправлял сегодня Вам в ПМ свой способ автозапуска. Где-то затерялось в потоке, или просто не до сук, с выпуском новой версии?
1. Я напишу (быть может придется подождать до выходных) пример такого скрипта
2. В общем-то потребности не было, но если она нужна, то реализовать в принципе можно (причем без кеширования - просто немедленны лобовой патч файла)
3. Видел, еще не успел отписать ... это известная в общем-то системная дурка (их на самом деле известно не менее 5 штук подобных, причем 2 из них используются реальными троянами и на одну есть эвристика AVZ). Если описанное появится в реальных зверях - появится вторая эвристика (это несложно сделать скриптом)

Scaramanga
08.07.2010, 16:34
Klif.sys так и не заслужл доверия?) так и остался в подозрительных объектах.

antanta
08.07.2010, 16:47
http://www.pictureshack.ru/images/2591gluk1.JPG
- про это давно писал. Забыли, наверное. Хотя, на это безобразие хотя бы эвристика ругается.
А на этот старый баг - нет. Только что проверил, все еще работает. Забэкапил beep.sys, поместил в drivers под именем beep.sys свой драйвер, которого в базах безопасных нет. Потом переименовал многострадальный notepad.exe в beep.sys, поместил в System32. В итоге мой дров в "диспетчере служб и драйверов" стал зеленым.

Добавлено через 6 минут

Зайцев Олег,
это известная в общем-то системная дурка
Если эта дурка известна, то не всем, насколько я понял. Wefensewall hips, а также KIS без дополнительной настройки HIPS пропускают спокойно. Других пока не проверял. Кстати, в случае с KIS код исполняется, а потом выдается сообщение, что программа не была запущена. И предлагается запретить запуск.
Да и AVZ в объектах атозапуска не отображает.

Добавлено через 3 минуты

Зайцев Олег,
1. Я напишу (быть может придется подождать до выходных) пример такого скрипта Такое возможно? Именно через BootCleaner? Я имею в виду случай, когда во время написания скрипта "сусликов" еще нет. Либо их не видно. Просто намекните как, не тратьте время. Кстати, BC может обрабатывать перехваты?

Infocatcher
08.07.2010, 18:00
Ложное срабатывание при определении наличия программы в автозагрузке:

Анализатор - изучается процесс 5124 D:\Portable\Miranda\miranda32.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
32-битная Windows 7.

При этом ни встроенные средства, ни AutoRuns 10.01 (http://technet.microsoft.com/sysinternals/bb963902.aspx) ничего такого в автозагрузке не показывают. А сам я и подавно в автозагрузку не прописывал. :)

Зайцев Олег
08.07.2010, 18:08
Ложное срабатывание при определении наличия программы в автозагрузке:

Где ложное срабатывание ?

antanta
08.07.2010, 18:12
Infocatcher, Не смотря на использование в программе AVZ элементов искуственного интеллекта, представляется маловероятным, что прга нафантазировала. Иначе, Зайцева Олега можно было бы поздравить :D
Авторанс - не истина в последней инстанции же. Уверяю Вас.

Nerimash
08.07.2010, 18:24
Панель "Быстрый запуск" определяется АВЗ как раздел автозапуска. Что можно легко проверить посмотрев в лог.

Добавлено через 2 минуты


Есть конечно - не все сразу ... модули пространства ядра на x64 адаптированы, список служб и драйверов - в процессе адаптации

Спасибо, будем ждать. Кстати это обновление планируется в последующей зборке или оно "приедет" вместе с обновлениями баз?

Ну все таки не могу дождатся драйверов бутклинера и гарда для х64 ;)

Infocatcher
08.07.2010, 19:35
Панель "Быстрый запуск" определяется АВЗ как раздел автозапуска. Что можно легко проверить посмотрев в лог.Да, в быстром запуске есть.
Но это же не автозагрузка. Хорошо бы и писать что-нибудь соответствующее.


Авторанс - не истина в последней инстанции же. Уверяю Вас.Тем не менее, средство хорошее.
А истин в последней инстанции не бывает. Вот и используем, что есть. :)

Chizh86
08.07.2010, 21:04
Точно всё, что есть в панели быстрого запуска сразу попадает в карантин, если включен автокарантин, в логе как автозапуск пишет, и файлы экселя и ярлыки, вордовские файлы, всё что там есть. Просто каждое утро отсылать в базу чистых одни и те же карантины...
И Кибер со вчерашнего дня молчит, утром отправлял файлы на обследование и тишина..

Зайцев Олег
08.07.2010, 22:52
Да, в быстром запуске есть.
Но это же не автозагрузка. Хорошо бы и писать что-нибудь соответствующее.

Хорошо бы читать то, что пишется в логе ... причем читать "как есть". Где там в логе написано, что это элемент автозагрузки ?! Это запущенный процесс, который подвергается изучению, по данному процессу собираются все доступные данные, которые могут хоть как-то его характеризовать, причем на уровне категорий без детализации (детализация есть в логе исследования, где дательно расписано, что и где прописано ... панель быстрого запуска является одной из форм, причисляемых мной к автозапуску (типовой пример - троян создает ярлычек с иконкой и помещает туда - что будет ?! целый ряд порнозвонилок, псевдоантивирусов и т.п. туда лезут ... и как я помню для Miranda, тем более Portable нетипично размещение в быстром запуске). Цель этих сообщений в логе - привлечь внимание хелпера к изучению соответствующих разделов лога

okshef
08.07.2010, 23:47
Огромное спасибо, Олег, за обновление, но, похоже, обработка циклических ссылок в Windows 7 (http://virusinfo.info/showpost.php?p=454178&postcount=18) так и не исправлена. Из лога AVZ на Windows 7:

Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Opera\Opera\vps\0000\wb.vx

ALEX(XX)
08.07.2010, 23:50
okshef, зато теперь на них не падает

Infocatcher
09.07.2010, 00:15
Хорошо бы читать то, что пишется в логе ...
Вроде бы, при обычном запуске сканирования (в отличие от стандартного скрипта сбора информации) лога не создается. Или я что-то упустил?
Вот меня и смутило «Записан в автозапуск !!», тем более, что раньше подобного про элементы Quick Launch не сообщало.


и как я помню для Miranda, тем более Portable нетипично размещение в быстром запуске).
Ну, просто мне лень переустанавливать некоторые программы, котрые не требуют установки для своей нормальной работы.


Цель этих сообщений в логе - привлечь внимание хелпера к изучению соответствующих разделов лога
Это все понятно, но было бы гораздо удобнее видеть в протоколе разные записи для все-таки различных причин подозрительности.

P.S. В логе, кстати, пишет про «Ярлык в папке автозагрузки». По «Quick Launch» в пути, конечно, понятно, но это не папка автозагрузки, а папка быстрого запуска, уж простите за буквоедство.

gjf
09.07.2010, 04:20
[+++] Поддержка x64 (в диспетчере процессов отображается тип процесса, поиск файлов ведется с учетом разрядности процесса,
карантин производится с учетом файлового редиректора (если есть идентичные файлы для x32 и x64, то карантинятся оба файла)

Надо бы Правила (http://virusinfo.info/pravila.html) подредактировать: выкинуть

Внимание! Не запускайте AVZ на x64. Мы не несём ответственность проблемы, возникшие в ходе запуска AVZ на системах x64

NickM
09.07.2010, 07:33
Кибер таким логом не подавится?

переживаю, поэтому сообщаю повторно, обратить внимание на HookPtr="B8B2A652"CheckResult="0",

Vvvyg
09.07.2010, 09:04
В 4.34 "Мастер поиска и устранения проблем" выдаёт в системных проблемах: "Скрыта кнопка завершения работы". Проявляется на серверных ОС - Windows 2000 Server, 2003, 2008.

Зайцев Олег
09.07.2010, 09:52
Кибер таким логом не подавится?

переживаю, поэтому сообщаю повторно, обратить внимание на HookPtr="B8B2A652"CheckResult="0",
там свой высокоскоростной парсер, которые не считает это ошибкой и без проблем обрабатывает ...

Добавлено через 39 минут


В 4.34 "Мастер поиска и устранения проблем" выдаёт в системных проблемах: "Скрыта кнопка завершения работы". Проявляется на серверных ОС - Windows 2000 Server, 2003, 2008.
И это верно - там есть такая блокировка, от природы стоит. зачем такая политика сделана - не знаю, видимо защита от шебутного админа с мышкой :)

Добавлено через 2 минуты


Огромное спасибо, Олег, за обновление, но, похоже, обработка циклических ссылок в Windows 7 (http://virusinfo.info/showpost.php?p=454178&postcount=18) так и не исправлена. Из лога AVZ на Windows 7:
Там стоит защита от сканирования симлинков (которы могут быть крест-накрест). Если нечто считается обычной папкой - оно сканируется, при достижении предельной длинны просто скан прервется и пойдет дальше.

Vvvyg
09.07.2010, 10:17
И это верно - там есть такая блокировка, от природы стоит. зачем такая политика сделана - не знаю, видимо защита от шебутного админа с мышкой :)


Ну, вообще-то блокировка от выключения не касается администраторов, это чтобы ушлый юзер в терминальном режиме сервер не выключил. Может, для серверных систем это либо игнорировать вообще, либо выдавать только в режиме "Все проблемы"?

Зайцев Олег
09.07.2010, 11:09
Ну, вообще-то блокировка от выключения не касается администраторов, это чтобы ушлый юзер в терминальном режиме сервер не выключил. Может, для серверных систем это либо игнорировать вообще, либо выдавать только в режиме "Все проблемы"?
Я снижу ему приоритет до единицы (сейчас двойка, всего шкала трехбальная - мелкие проблемы=1, обычные=2, критические=3).

Vvvyg
09.07.2010, 11:20
Я снижу ему приоритет до единицы
Ну и ладушки :)

NickM
09.07.2010, 12:40
неудобство в окне "Мастера проблем", после пометки пробелом курсор так и прыгает на первую строку

neo4511
09.07.2010, 18:38
неудобство в окне "Мастера проблем", после пометки пробелом курсор так и прыгает на первую строку

Согласен. Надо поправить!

Scaramanga
10.07.2010, 14:04
Вот такая (http://forum.kasperskyclub.ru/index.php?showtopic=20999&st=0&gopid=301841&#entry301841) проблема на 64 битной семерке при попытке запуска 7 стандартного скрипта, авз зависает

thyrex
10.07.2010, 18:41
Олег, http://virusinfo.info/showpost.php?p=668063&postcount=5

В логе снова
Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39]

Зайцев Олег
10.07.2010, 21:20
Олег, http://virusinfo.info/showpost.php?p=668063&postcount=5

В логе снова
... база от 08.07.2010 09:40 ... - это пеовый вариант релиза, с необновленными базами.

NickM
10.07.2010, 21:23
думается Мне АВЗ скачан до,


Версия перезалита, это был банальный левый символ в скрипте, попал туда перед сборкой баз новой версии ...

Torerro
10.07.2010, 22:07
Зайцев Олег, В текстовой части лога опечатка. Возможно должно быть настройки или настроек ?


>> Повреждено меню настроки отображения папок

http://s44.radikal.ru/i106/1007/66/c367e694cb36.png

tdenz2000
12.07.2010, 19:56
"Восстановление системы" не работает (сброс SPI/LSP и TCP/IP точно не работает).

NickM
12.07.2010, 20:41
Win7U x32, при запуске стандартного скрипта №2,4 галка "Поиск клавиатурных перехватчиков" сбрасывается, при этом в логе "5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем"

Зайцев Олег
12.07.2010, 20:57
Win7U x32, при запуске стандартного скрипта №2,4 галка "Поиск клавиатурных перехватчиков" сбрасывается, при этом в логе "5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем"
Это нормальное поведение - так заложено в скрипте. Если рапортов о сбоях антикейлоггера не будет поступать, я сниму эту блокировку

Добавлено через 33 секунды


"Восстановление системы" не работает (сброс SPI/LSP и TCP/IP точно не работает).
Каким образом это установлено ?

antanta
12.07.2010, 22:16
CalkFileMD5 так всегда будет именоваться? Мои кривые руки сами набирают CalcFileMD5 :(

Vadim_SVN
13.07.2010, 11:17
Олег, можно подробнее об этом:

9. Мастер поиска и устранения проблем
>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

И вопрос по полиморфу: по штампу времени он идет 08.07.2010 10:43 - это первая версия, или уже пересобранная (из-за левого символа в скрипте) ?
Проверил: версия с ошибкой.

По онлайн документации:
- отсутствует полностью п 15.29.2 (хотя место зарезервировано)
- нет описания п 15.39.1

Зайцев Олег
13.07.2010, 13:47
Олег, можно подробнее об этом:


И вопрос по полиморфу: по штампу времени он идет 08.07.2010 10:43 - это первая версия, или уже пересобранная (из-за левого символа в скрипте) ?
Проверил: версия с ошибкой.

По онлайн документации:
- отсутствует полностью п 15.29.2 (хотя место зарезервировано)
- нет описания п 15.39.1
15.29.2 - у меня открылся, RegKeyExistsEx
15.39.1 - действительно глюк

NickM
13.07.2010, 15:29
АВЗ 4.34, , чтобы это значило?

в логе пишет:
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск со сменных носителей

при этом флэшки система "не раскручивает" + в системе укольчик от "Panda USB Vaccine"

Vadim_SVN
13.07.2010, 16:37
15.29.2 - у меня открылся, RegKeyExistsExДа, в ИЕ все открывает.
В мозилле не открывал, пока не отключил PornoAdBlock :))) - где-то ему ...script_regkeyexistsex.htm не нравится

tdenz2000
13.07.2010, 18:44
сброс SPI/LSP и TCP/IP не работает.


Каким образом это установлено ?
В 4.32 при сбросе SPI/LSP и TCP/IP, адреса TCP/IP всегда устанавливались в автоматическое получение, сейчас адрес TCP/IP остается.

Зайцев Олег
13.07.2010, 20:40
В 4.32 при сбросе SPI/LSP и TCP/IP, адреса TCP/IP всегда устанавливались в автоматическое получение, сейчас адрес TCP/IP остается.
Этот сброс AVZ выполняет системными утилитами, потому не может делать это как-то по другому в разных версиях ...

Юльча
13.07.2010, 23:08
АВЗ 4.34, , чтобы это значило?

в логе пишет:
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск со сменных носителей

при этом флэшки система "не раскручивает" + в системе укольчик от "Panda USB Vaccine"
могу предположить:
пандовакцина для отключения авторана использует 1 ключ реестра с параметром @="@SYS:DoesNotExist"
но насколько я помню на автозапуск флешек влияет несколько ключей, их вероятно и опрашивает avz

AndreyKa
14.07.2010, 15:43
Олег, ExecuteSysClean не доробатывает. В теме http://virusinfo.info/showthread.php?t=82916 пришлось использовать команды:

RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Mic rosoft\Windows NT\CurrentVersion\Windows','Run');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');

Чтобы зачистить следы файла D:\WINDOWS\system32\gqplzga.exe

Зайцев Олег
14.07.2010, 19:19
Олег, ExecuteSysClean не доробатывает. В теме http://virusinfo.info/showthread.php?t=82916 пришлось использовать команды:

RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Mic rosoft\Windows NT\CurrentVersion\Windows','Run');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');

Чтобы зачистить следы файла D:\WINDOWS\system32\gqplzga.exe
Там указано полное имя файла ? Для ExecuteSysClean должно быть совпадение значения в ключе реестра и имени удаляемого файла. Иначе не сработает (так как есть высокая вероятность ошибки и удаления лишнего)

AndreyKa
14.07.2010, 19:58
В логах полное имя. Если в реестре не полное, а AVZ, не найдя файла, придумал для него путь, то это тоже баг.

Зайцев Олег
14.07.2010, 20:22
В логах полное имя. Если в реестре не полное, а AVZ, не найдя файла, придумал для него путь, то это тоже баг.
Не нужно придумывать ерунды. При удалении файла AVZ удаляет ровно то, что было указано в скрипте ... и ничего "придумать" не может в принципе. При поиске файла без полного имени (для карантина, при анализе) ведется поиск файла по альтернативным системным путям (если быть точным - то с помощью системной функции поиска), и при нахождении - отображается полное имя найденного файла. Если файл не найдется - то имя файла отображается "как есть"

tdenz2000
14.07.2010, 21:08
Этот сброс AVZ выполняет системными утилитами
Прошу прощения - разобрался. Проблема с NetSh на ПК. За AVZ большое спасибо.

tar
15.07.2010, 21:02
создал Bat:
"avz.exe ag=y newdsk=y"
При выхоже не отключился гуард, добавил вторую строку в этот bat:
"avz.exe ag=n"
но при выходе все равно ничего не могу запустить

Зайцев Олег
15.07.2010, 22:00
создал Bat:
"avz.exe ag=y newdsk=y"
При выхоже не отключился гуард, добавил вторую строку в этот bat:
"avz.exe ag=n"
но при выходе все равно ничего не могу запустить
Вторая команда просто не запустится после первой ... а Guard придется или не включать, или выключать вручную

polword
16.07.2010, 10:54
Нет, нет да появятся опасения по поводу запуска на системе x64.
тема с очередными опасениями http://virusinfo.info/showthread.php?t=83181 (http://virusinfo.info/showthread.php?t=83181)
От gif уже было предложение (http://virusinfo.info/showpost.php?p=667309&postcount=41) по этому поводу. Может кто-нибудь сделает это.

dAlexis
17.07.2010, 17:01
АВЗ 4.34, , чтобы это значило?

в логе пишет:
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск со сменных носителей

при этом флэшки система "не раскручивает" + в системе укольчик от "Panda USB Vaccine"

У меня еще интереснее - я уж плохое думаю. Win7 64 лицензионка. В отчете странное - разрешена отправка приглашения удаленному помошнику. Подпрыгнул, полез в настройки системы, ругая себя всякими словами. Гляжу- галка НЕ УСТАНОВЛЕНА. :O Если надо, screenshot приделаю, здоров он, зараза, но все на нем видно (1920х1200, зазипую, ежели понадобится).Удаленного стола тоже нет. Вопрос - сие особенность работы под 64 битами или уже озорники в компе лазят?

okshef
21.07.2010, 15:30
Олег, можно ли добавить в .xml лог информацию, касающуюся формата даты: какой формат даты и времени у пользователя на компьютере. Связано это с короткими датами, например такими:

created: 7/7/2010 10:07:11 PM
modified: 7/8/2010 10:19:08 AM
В этом случае не понятно, какой это формат, американский или европейский (на самом деле в логе это был американский формат времени M/DD/YYY), но это стало понятно не сразу. Если, к примеру, будет написана дата, как

10.10.10
То, учитывая стандарты форматов, даты:

Европейский,
Американский,
Японский,


понять, где дата, год, месяц представляется сложной задачей.
Спасибо.

Зайцев Олег
21.07.2010, 15:42
Олег, можно ли добавить в .xml лог информацию, касающуюся формата даты: какой формат даты и времени у пользователя на компьютере.
Можно, но в общем-то не нужно. Я внес исправление - в новой версии AVZ в лог (обычный и XML) даты будут попадать в нормализованном виде, по маске "DD.MM.YYYY HH:NN:SS", независимо от настроек формата даты и времени на ПК

Torerro
21.07.2010, 15:57
Зайцев Олег, У меня ещё вопрос касающийся формата даты. Функция QuarantineFileF (http://z-oleg.com/secur/avz_doc/script_quarantinefilef.htm) Там написано:

ADateMin - минимальная дата файла. Дата задается в виде строки формата DD.MM.YYYY. При сравнении проверяется дата создания и дата последней модификации файла, если любая из дат больше заданной, то условие считается выполненным. Параметр необязателен, если контроль минимальной даты не нужен, то задается пустая строка.

ADateMax - максимальная дата файла. Дата задается в виде строки формата DD.MM.YYYY. При сравнении проверяется дата создания и дата последней модификации файла, если любая из дат меньше заданной, то условие считается выполненным. Параметр необязателен, если контроль максимальной даты не нужен, то задается пустая строка.


А вот если у пользователя всё же формат в M/DD/YYYY, как он воспримет команду

QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '1.06.2010', '3.06.2010');С диапазоном дат от 1 июня 2010 - до 3 июня 2010 года? Не получился ли что диапазон будет распознан как 6 января 2010 - 6 марта 2010 года?

Формат такого лога прикрепляю. Сделан версие 4.34 и формат в ней не привёлся к DD.MM.YYYY HH:MM

Как быть? :?


Ещё вопрос.
Можно ли добавить команду, подобную QuarantineFileF, но чтобы в некий список выводились все подходящие по условиям файлы.

Зайцев Олег
21.07.2010, 16:43
Зайцев Олег, У меня ещё вопрос касающийся формата даты. Функция QuarantineFileF (http://z-oleg.com/secur/avz_doc/script_quarantinefilef.htm) Там написано:


А вот если у пользователя всё же формат в M/DD/YYYY, как он воспримет команду

QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '1.06.2010', '3.06.2010');С диапазоном дат от 1 июня 2010 - до 3 июня 2010 года? Не получился ли что диапазон будет распознан как 6 января 2010 - 6 марта 2010 года?

Формат такого лога прикрепляю. Сделан версие 4.34 и формат в ней не привёлся к DD.MM.YYYY HH:MM

Как быть? :?

В QuarantineFileF (http://z-oleg.com/secur/avz_doc/script_quarantinefilef.htm) все учтено - там формат жестко DD.MM.YYYY и не зависит от настроек ПК пользователя. В логе пока ничего не приводится - там даты форматируются по настройкам ПК (приведение дат будет в следующей версии AVZ).


Ещё вопрос.
Можно ли добавить команду, подобную QuarantineFileF, но чтобы в некий список выводились все подходящие по условиям файлы.
Можно, добавлю. Называться будет SearchFileF ...

NickM
22.07.2010, 18:17
приметил, хэлперы в разделе "Помогите" используют скрипты ExecuteWizard с параметром сохранения бэкапа, вопрос: как можно использовать созданный бэкап? через "Мастер поиска и устранения проблем" он недоступен. Также обратил внимание что созданные файлы отката отличаются размером и содержимым при исправлении одних и тех же проблем через мастер и через скрипт.

Зайцев Олег
22.07.2010, 18:25
приметил, хэлперы в разделе "Помогите" используют скрипты ExecuteWizard с параметром сохранения бэкапа, вопрос: как можно использовать созданный бэкап? через "Мастер поиска и устранения проблем" он недоступен. Также обратил внимание что созданные файлы отката отличаются размером и содержимым при исправлении одних и тех же проблем через мастер и через скрипт.
ExecuteWizard делает ровно то, что и запуск через GUI (вызовы к одному и тому-же движку). Разница в том, что ExecuteWizard фиксит по уровню критичности, тогда как мастер - отмеченные проблемы. Откат через GUI должен работать ...

Chizh86
23.07.2010, 10:56
При запуске AVZ из батника с выполнение скрипта неправильно отображаются кнопки "Пуск" и вторая про работу скрипта

http://s61.radikal.ru/i174/1007/b7/7cd7baa7fb46t.jpg (http://radikal.ru/F/s61.radikal.ru/i174/1007/b7/7cd7baa7fb46.jpg.html)

Добавлено через 4 часа 0 минут

В теме (http://virusinfo.info/showthread.php?t=83557е)
в отчёте есть имя файла в шеснадцатиричной системе "File=
"hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,5 2,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73, 00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,55,00 ,44,00,46,00,53,00,76,00,63,00,2e,00,64,00,6c,00,6 c,00,00,00"
при переводе получаем строку
%SystemRoot%\System32\WUDFSvc.dll
Отработает ли АВЗ если ему передать явно заданое имя т.е.:

QuarantineFile('hex(2):25,00,53,00,79,00,73,00,74, 00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00 ,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5 c,00,57,00,55,00,44,00,46,00,53,00,76,00,63,00,2e, 00,64,00,6c,00,6c,00,00,00','');
DeleteFile('hex(2):25,00,53,00,79,00,73,00,74,00,6 5,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53, 00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00 ,57,00,55,00,44,00,46,00,53,00,76,00,63,00,2e,00,6 4,00,6c,00,6c,00,00,00');
Или при необходимости всё таки приводить его к нормальному виду?
Или это глюк АВЗ?

NickM
26.07.2010, 09:49
приметил, если запустить АВЗ с параметром minilog=y и воспользоваться стандартным скриптом №2 через GUI лог создается полным, тогда когда при прогонке через "Выполнить скрипт" он создается укороченный, это так задумано?

Nvidia
26.07.2010, 12:45
Вопрос..
Вроде как я прочитала что ВС с ОС х64 несовместим..
Это значит - что стандартные команды ВС в конце скрипта работать не будут?
А то юзера на Вин7 х64 мучают скриптом, а он не выполняется.. вылетает ошибка, что AVZ не отвечает...

Зайцев Олег
26.07.2010, 13:44
Вопрос..
Вроде как я прочитала что ВС с ОС х64 несовместим..
Это значит - что стандартные команды ВС в конце скрипта работать не будут?
А то юзера на Вин7 х64 мучают скриптом, а он не выполняется.. вылетает ошибка, что AVZ не отвечает...
На X64 BC просто не заработает, вот и все... ошибок не будет (не нужен на x64 BC - так как не появились пока для него трудноудаляемые звери).

Добавлено через 1 минуту


приметил, если запустить АВЗ с параметром minilog=y и воспользоваться стандартным скриптом №2 через GUI лог создается полным, тогда когда при прогонке через "Выполнить скрипт" он создается укороченный, это так задумано?
Да, примерно так и было задумано. скрипт номер 2 не наследует многие настройки AVZ, тогда как выполняемый скрипт использует их

SuperBrat
28.07.2010, 15:50
Обновление AVZ не работает? Ошибка загрузки файла с описанием...

Vadim_SVN
28.07.2010, 15:58
Обновление AVZ не работает?Вроде бы без проблем
28.07.2010 15:51:19 Обновление прошло успешно

Зайцев Олег
28.07.2010, 16:02
Обновление AVZ не работает? Ошибка загрузки файла с описанием...
Могло что-то перекосить - сейчас перевыложу (после выхода новой версии нагрузка на хостинг большая)

tar
28.07.2010, 21:18
будет ли AVZ устранять системную ошибку Windows связанную с новыми зловредами, которые используют lnk ?

antanta
28.07.2010, 22:51
Nvidia, Вопрос в том, кто быстрее получит подпись от MS: драйвер BC от AVZ или драйвер кого-то из руткитов. Легальность vs "количество желающих"+"желание использовать ... хм... недокументированные возможности"

SuperBrat
29.07.2010, 08:42
Могло что-то перекосить - сейчас перевыложу (после выхода новой версии нагрузка на хостинг большая)
Вот что выдал корпоративный прокси:

http://www.z-oleg.com/secur/avz_up/


Forbidden
You don't have permission to access /secur/avz_up/ on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

http://avz.virusinfo.info/avz_up/


Forbidden

You don't have permission to access /avz_up/ on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Зайцев Олег
29.07.2010, 16:11
Вот что выдал корпоративный прокси:

http://www.z-oleg.com/secur/avz_up/


Forbidden
You don't have permission to access /secur/avz_up/ on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.



В общем-то на эти папки всем (а не только проксику) дается 404 ... что не мешает рабоет AVZ, который точно знает, какие файлы необходимо скачать

tar
01.08.2010, 11:35
обратил внимание, что если в AVZ включить guard, выключить, выйти из AVZ, то через несколько минут появляется синий экран и мой нетбук msi с windows sp3 идет на перезагрузку:

Создано с помощью BlueScreenView
Имя файла Адрес в стеке С адреса По адрес Размер Метка времени Строка времени Название продукта Описание файла Версия файла Компания Полный путь
ntoskrnl.exe ntoskrnl.exe+6a63c 0x804d7000 0x806e4000 0x0020d000 0x4b7a8bbf 16.02.2010 16:12:47 Операционная система Microsoft® Windows® Системный модуль ядра NT 5.1.2600.5938 (xpsp_sp3_qfe.100216-1510) Корпорация Майкрософт C:\WINDOWS\system32\ntoskrnl.exe
sysaudio.sys sysaudio.sys+37fd 0xf7713000 0xf7721d80 0x0000ed80 0x48025beb 13.04.2008 23:15:55 Microsoft® Windows® Operating System System Audio WDM Filter 5.1.2600.5512 (xpsp.080413-2108) Microsoft Corporation C:\WINDOWS\system32\drivers\sysaudio.sys

Зайцев Олег
01.08.2010, 17:18
обратил внимание, что если в AVZ включить guard, выключить, выйти из AVZ, то через несколько минут появляется синий экран и мой нетбук msi с windows sp3 идет на перезагрузку
Удивительно, что это произошло через несколько минут ... в идеале такое должно случиться быстрее. Именно поэтому назначение Guard описано в хелпе с припиской красным, и во всех скриптах лечения процедура проста - включение Guard, операции удаления и зачистки, и немедленная перезагрузка.

tar
01.08.2010, 21:43
Удивительно, что это произошло через несколько минут
ну может я слегка преувеличил

Добавлено через 1 час 16 минут

просто в пред. версии этого не было, вот и обратил внимание

SuperBrat
03.08.2010, 14:18
В общем-то на эти папки всем (а не только проксику) дается 404 ... что не мешает рабоет AVZ, который точно знает, какие файлы необходимо скачать
Есть предположение, что в корпоративной сети поставлен eSafe. Вот он и блочит обновления AVZ.

Kamaz
04.08.2010, 17:27
У меня эта новая версия что-то глючит.
Файлы помещённые в карантин невозможно восстановить !!!
Помогите, может это какой баг ? или так и задумано ? Тогда почему опция есть ?
Есть ли другой способ восстановить НУЖНЫЕ файлы ?
Помогите, СРОЧНО !

(это случилось после запуска "Автокарантин")

Никита Соловьев
04.08.2010, 18:15
это случилось после запуска "Автокарантин"Карантин не предусматривает удаление из текущего расположения. Какие-то файлы пропали?

Kamaz
04.08.2010, 18:20
Перестали работать, тобишь не открываются.
Как их восстановить, чтобы файлы заработали ?
(Простое удаление файлов из карантина поможет, чтобы они заработа вновь?)

В часности, он посчитал Касперского 2011 как вирь и теперь он не открывается и все его базы...
А так же заблочил(значки) некоторых программ, игр и из програм файлс
Ещё процессы из папки windows (На там точно ни вирусы) - Тот компьютер без интернета, поэтому каспер там для флешек

что делать ??? Как восстановить ?

Зайцев Олег
04.08.2010, 18:35
Перестали работать, тобишь не открываются.
Как их восстановить, чтобы файлы заработали ?
(Простое удаление файлов из карантина поможет, чтобы они заработа вновь?)

В часности, он посчитал Касперского 2011 как вирь и все его базы...
А так же заблочил(значки) некоторых программ из програм файлс
Вот так всегда бывает, если нажимать много непонятных кнопочек не читая инструкций.
1. карантин - это копирование файла, не более того. Сам файл остается на месте и ничего с ним не делается ...
2. А каким именно "вирем" был признан KAV 2011 и его базы - имя детекта какое ?
3. AVZGuard не включался ? Если включался - выключить и (или) как минимум перезагрузиться

Kamaz
04.08.2010, 19:04
карантин - это копирование файла, не более того. Сам файл остается на месте и ничего с ним не делается ...
Тогда почему доступ к файлам пропал ? И они ни окрываются ?

2. А каким именно "вирем" был признан KAV 2011 и его базы - имя детекта какое ?
Когда АвтоКарантин ключил, там все файлы подчистую в карантин попали !!!

3. AVZGuard не включался ? Если включался - выключить и (или) как минимум перезагрузиться
Нет
------------------------------------------------------------------------------------------------------------------------------
Пришлось сделать откат системы до прошлой даты, заблоченные файлы, исчезли вместе с avz
(это последний раз, когда я им пользовался) - жаль, придётся полностью переустановку винды делать

antanta
04.08.2010, 22:15
Kamaz, компьютер - зло, от него также следует держаться подальше. Извините, не сдержался.

Nvidia
04.08.2010, 23:52
Kamaz, Не кричи! есть проблемы - есть раздел безопасности. Не нужно обо всём подряд кричать в одной теме(((
да простят меня модераторы за мой пост.

Lazy Crazy
05.08.2010, 06:41
google.ru при поиске по запросу "avz" первой ссылкой даёт адрес free-dowloads.ru/AVZ.html, по которому расположено нечто под именем "AVZ 4.35". :? Все ссылки на странице ведут на неё же, заглавной страницы на сайте нет. В восторженных комментариях внизу упоминается некая "активация". Просто фейк или что-то серьёзнее?

Зайцев Олег
05.08.2010, 09:06
google.ru при поиске по запросу "avz" первой ссылкой даёт адрес free-dowloads.ru/AVZ.html, по которому расположено нечто под именем "AVZ 4.35". :? Все ссылки на странице ведут на неё же, заглавной страницы на сайте нет. В восторженных комментариях внизу упоминается некая "активация". Просто фейк или что-то серьёзнее?
Это фейк. С того сайта качается некий avz.exe, который является написанным на коленке "инсталлятором" с активацией за деньги (т.е. для продолжения установки он клянчит код, полученный после отправки платной SMS). Как говорится, дело "дениса попова" живее всех живых - только в нашей стране могут умудряться украсть и (или) продать то, что доступно всем и бесплатно :) Ссылка на эту страничку показывается в платной гугл-рекламе, результаты поиска правильные. Если есть желающие заняться, то можно загнобить это безобразие :)

antanta
05.08.2010, 12:14
Так?

stream3 77.221.130.43 80 *.*.*.* 80

Зайцев Олег
05.08.2010, 13:37
Так?

stream3 77.221.130.43 80 *.*.*.* 80
Зачем же так сразу-то stream3 :)
Гнобить можно куда проще (и результативнее) - написать кляузы хостеру/смотрителям рекламы гугла и т.п. Получив несколько кляуз они задумаются.

antanta
05.08.2010, 21:36
Кстати, отзывы зашиты в код страницы. Никакой формы для регистрации нет :D
Интересно, это можно расценивать как недобросовестную рекламу?

Добавлено через 7 часов 35 минут
И что с копирайтом?

anton_dr
06.08.2010, 06:56
Если есть желающие заняться, то можно загнобить это безобразие
Можно и ему позвонить :)

Karlson
06.08.2010, 12:53
Можно и ему позвонить :)
мож проще сразу подъехать? прокатить человека за грибами... в лес.. в багажничке..
8)

antanta
06.08.2010, 22:07
Karlson, фи, как это все неинтелихгэнтно. Банальный перманентный пинг от каждого AVZ - юзера, и хостер призадумается, нужны ли ему такие клиенты. А еще можно маленький скрипт налабать, который будет открывать страничку как можно чаще. Браузер Links делает это довольно быстро. Или lynx, который и под винду есть, вроде бы.

valho
06.08.2010, 23:11
У этого хостера фри-довнлоадс.ру троянчик лежит зевс в открытую
http://www.virustotal.com/analisis/a00977aebb151b78d6a449a055e9315ba56c7462a645f8a07c 97eea360bb3bac-1281121473
:)

AndreyKa
08.08.2010, 10:35
В ОС, русифицированных с помощью MUI, при вызове функции GetFileVersion для файлов участвующих в локализации, выдаётся информацию не о файле в системном папке, а о соответствующем файле с локализованными ресурсами.
Так и задумано? На мой взгляд, важнее получать информацию о файле с выполняемым кодом.

NickM
11.08.2010, 18:42
предложение, отслеживать одновременно-последовательный запуск стандартных скриптов №2 и 4 и не выполнять повторные проверки/поиск зловредов,

NickM
12.08.2010, 12:59
предложение, часто на virusinfo хэлперы советуют для зараженных/подозрительных заблокированных системных файлов загрузится с live cd и заменить их на чистые/дистрибутивные, а что если эту задачу повесить на бут клинер?

Oyster
12.08.2010, 13:59
предложение, часто на virusinfo хэлперы советуют для зараженных/подозрительных заблокированных системных файлов загрузится с live cd и заменить их на чистые/дистрибутивные, а что если эту задачу повесить на бут клинер?Это вроде можно сделать через команды BC_DeleteFile и BC_CopyFile. Полностью автоматически вряд ли получится - откуда бут-клинер знает, где взять эталонные файлы? Или он должен запросить у пользователя установочный диск Windows? :)

NickM
12.08.2010, 14:23
Это вроде можно сделать через команды BC_DeleteFile и BC_CopyFile.

а тут одной перезагрузкой обойдешься? т.е. удалил файл и все, не загрузился, :(

автоматически и не надо, из под Лайв всяк ручками работаешь + его еще раздобыть надо (скачать) да загрузится,

antanta
12.08.2010, 21:23
Или он должен запросить у пользователя установочный диск Windows? :)
Пуркуа бы и не па?

Добавлено через 11 минут


удалил файл и все, не загрузился
вот тогда - лсд, но не всегда же.

AndreyKa
16.08.2010, 00:52
Зайцев Олег, исправьте здесь: http://www.z-oleg.com/secur/avz_doc/index.html?avz_nazn.htm и в сответствующем разделе справки "Базы AVZ обновляются ежедневно." на "Базы AVZ обновляются еженедельно."

Зайцев Олег
16.08.2010, 08:18
Зайцев Олег, исправьте здесь: http://www.z-oleg.com/secur/avz_doc/index.html?avz_nazn.htm и в сответствующем разделе справки "Базы AVZ обновляются ежедневно." на "Базы AVZ обновляются еженедельно."
А они и обновляются ежедневно... точнее сейчас - практически ежеминутно. Только сделано это несколько иначе - воспрользоваться этим может посетитель 911.

yamoney
16.08.2010, 13:18
А они и обновляются ежедневно... точнее сейчас - практически ежеминутно. Только сделано это несколько иначе - воспрользоваться этим может посетитель 911.

А можно чуть-чуть поподробнее? Лично я в этом далеко не профи и словосочетание "посетитель 911" мне мало о чём говорит :)

Ибо, действительно, сам переживаю по поводу того, что базы AVZ обновляются у меня очень редко!..

Зайцев Олег
16.08.2010, 13:42
А можно чуть-чуть поподробнее? Лично я в этом далеко не профи и словосочетание "посетитель 911" мне мало о чём говорит :)

Ибо, действительно, сам переживаю по поводу того, что базы AVZ обновляются у меня очень редко!..
А переживать тут нечего - я могу сделать обновление баз раз в N минут (цифра любая), только какой с того прок (кроме нагрузки на зеркала обнволения) ? Лучше детектиться от это что-то не будет, эвристики и база чистых меняются 1-3 раза в неделю, а от тупого набивания баз оосбой пользы нет.
911 - это http://virusinfo.info/911test/, там обитает вот такой зверь - http://virusinfo.info/index.php?page=cyberhelper - эта штука в том числе готовит базы AVZ, и если некий зверь пойман и изучен, то при обращении в службу 911 быдет выписан скрипт для его уничтожения (и не важно, есть детект этого зверя в базах AVZ или его нет). Если такого именно звыеря нет - будет выписан скрипт карантина для исследования. Причем быстро и на полном автомате ... В такой ситуации понятие актуальности сигнатурных баз вообще теряет смысл и возможно в неделеком будующем в 911 будет применяться урезанный AVZ вообще без базы детектирования зловредов.

kps
16.08.2010, 14:45
Ибо, действительно, сам переживаю по поводу того, что базы AVZ обновляются у меня очень редко!..

На самом деле AVZ едва ли правильно считать сигнатурным сканером. Да, там есть функция поиска зловредов по сигнатурам, но лишь как дополнительная фича, на ней не делается акцент по простой причине: с помощью утилиты можно отлавливать вредоносное ПО, в том числе и новое, для которого нет сигнатур ни у самой утилиты ни у популярных антивирусных сканеров с большой вирусной базой. Т.е. утилита главным образом инструмент для исследования системы, поимки зловредов и их удаления с ПК при помощи специалиста (анализирующего протокол исследования) и скрипт-языка (предоставляющего возможность использовать многочисленные возможности утилиты).
Обновление в основном нужно, чтобы улучшить какие-либо методы исследования, анализа, лечения системы и устранения проблем, пополнить базу чистых файлов, но не главным образом для пополнения сигнатурной вирусной базы.
На мой взгляд, сигнатурный поиск утилите вообще не особо нужен, именно из-за других особенностей и возможностей. И поэтому я бы не считал проблемой вообще, если бы обновления для утилиты выходили, скажем, раз в неделю.

AndreyKa
16.08.2010, 14:47
я могу сделать обновление баз раз в N минут (цифра любая), только какой с того прок (кроме нагрузки на зеркала обнволения) ? Лучше детектиться от это что-то не будет, эвристики и база чистых меняются 1-3 раза в неделюВот, я и прошу привести документацию в соответствие реальности. Не хорошо людей вводить в заблуждение.

PavelA
16.08.2010, 17:22
На мой взгляд, сигнатурный поиск утилите вообще не особо нужен, именно из-за других особенностей и возможностей. А как быть с теми кто использует утилиту без доступа к Киберу. В этом случае поиск иногда отлавливает малваре.

antanta
16.08.2010, 21:55
PavelA, Если бы у бабуш... у AVZ были достаточно полные сигнатурные бызы, то это был бы AVPTool++ ? Или я что-то путаю?

polar_owl
17.08.2010, 09:59
поиск иногда отлавливает малваре.
Отлавливает конечно, но вообще, в идеале, даже в правилах у нас написано, что нужно использовать сканеры типа CureIt или AVPTool и только потом, пользоваться AVZ -- в данном случае отсутствие сигнатур у AVZ не помеха...

Зайцев Олег
17.08.2010, 10:34
PavelA, Если бы у бабуш... у AVZ были достаточно полные сигнатурные бызы, то это был бы AVPTool++ ? Или я что-то путаю?
Не совсем. Разница между AVZ и AVPTool в первую очередь не в базе, а в движке. AVPTool содержит движек AVP, который содержит в частности имеет базу унпакеров/декриптеров, оснащен эмулятором и кучей разных иных фич, которые в частности позволяют детектить сложных полиморфных зверей и лечить патченные/зараженные файлы. В результате размер AVPTool на порядок больше, а скорость сканирования - на порядок медленее. AVZ же с точностью до наоборот - там поверхностный анализ, нацеленный на быстрое обнаружение популярных малварей для облегчения чистки ПК. Причем это "облегчение" актуально для человека, машине оно в общем-то не критично и записать в скрипт лишние N команд "киберу" тривиально

PavelA
17.08.2010, 13:54
даже в правилах у нас написано, что нужно использовать сканеры типа CureIt или AVPTool и только потом, пользоваться AVZ -- в данном случае отсутствие сигнатур у AVZ не помеха... повторюсь: представьте, что я работаю без Правил, без форума, просто проверяю компьютер. Не зацикливаетесь на Правилах форума, Инет и даже Рунет на ВИ не заканчтивается.

polar_owl
17.08.2010, 13:59
Дык, Павел, признаюсь, я тоже раньше по незнанию использовал АВЗ как антивирусный сканер. Но ведь это же неправильно...:)

PavelA
17.08.2010, 14:48
Но ведь это же неправильно... Что есть под рукой, то и запускаем. Во вторых: кеш гугла наверняка содержит множество ссылок на такое применение AVZ. Если об этом пошла речь, то надо просто выбросить сканер из комплекта в очередной версии.

polar_owl
17.08.2010, 14:51
Если об этом пошла речь, то надо просто выбросить сканер из комплекта в очередной версииУж пусть лучше будет;)

chemtech
19.08.2010, 12:53
Можно узнать ключи установки AVZ (актуально для автоматической установки).
Заранее спасибо.

Зайцев Олег
19.08.2010, 12:58
Можно узнать ключи установки AVZ (актуально для автоматической установки).
Заранее спасибо.
Пояните, что такое "ключи установки" ? AVZ в общем-то работает без инсталляции и сам термин "установка" к нему не применим

chemtech
19.08.2010, 14:28
Хотелось бы при установке Windows установить драйвером мониторинга процессов и драйверов AVZPM, например, так: avz.exe /i avzpm

AndreyKa
19.08.2010, 14:31
Хотелось бы при установке Windows установить драйвером мониторинга процессов и драйверов AVZPMЭто не следует делать. AVZPM должен использоваться только при лечении компьютера.

chemtech
19.08.2010, 14:33
Есть проблемы? можно ссылки, где эти проблемы описываются?

PavelA
19.08.2010, 15:37
например, так: avz.exe /i avzpm Смотрите в хелпе: параметры командной строки.

pig
19.08.2010, 18:07
Есть проблемы?
Есть. В некоторых случаях провоцирует BSOD.

antanta
19.08.2010, 20:28
chemtech, у меня 1 раз из 10 бсодил при запуске Microsoft Virtual PC 2004

chemtech
20.08.2010, 06:00
Microsoft Virtual PC 2004 не использую))
Есть еще проблемы?

pig
20.08.2010, 07:07
Да никто не выяснял всерьёз, при каких условиях он синьку делает. Просто были жалобы на вылезающий на ровном месте синий экран, в дампах обнаруживали AVZPM, советовали удалить, синьки прекращались.

Br0m
20.08.2010, 11:20
точно знаю что не совместим со Steam, Source Engine - да и вообще любыми 3D движками сильно нагружаюшими систему
некоторые кривые драйвера тоже его (AVZPM) не любят

но думаю это не проблема, держать постоянно включенным его не к чему,
вы же не держите утюг включенным всегда - так погладить, или спросить чего :D

да и замечено, что он НЕ вычищает следы за собой полностью - ключи в реестре имеют права system only и естественно, пока не добавишь полномочий не удалишь - это видимо защита от некоторых зловредов
либо синьку вызывает второй экземпляр AVZPM, установленный зловредом - вроде по Помогите! что-то пролетало подобное

chemtech
20.08.2010, 11:36
Хорошо, уговорили

Torvic99
20.08.2010, 12:00
Микрософтовская - "средство удаления вредоносных программ" тоже не дружит с монитором. На нескольких компьютерах где я забыл выгрузить монитор был БСОД.

QUARQ
20.08.2010, 15:27
столкнулся с вирусякой ... рубит интернет и иметирует дейсвия антивируса , при этом не дает загрузиться другим антивирусам и утилитам : полиморфным AVZ с отключеным ярлыком , UVS в любых режимах противодействия ,а также reg файлы , и ini файлы напрочь блокировались !
лайфциди под рукой небыло кое как удолось эту гадость усмерить ручками и выгрузить из оперативной памяти и только тагда весь мой арсенал заработал!

от суда странный вопрос ... почему вирус на порядок умнее и сильнее любой программы которая призвана противодейсвовать, найти и обезвредить?

все больше приходишь к вывду что AVZ помогает востоновить систему после вирусной атаки а заразу отлавливать в ручную потомучто из по лайфа его не видно , а сейфмод или наглухо отрубленый или вирус там себя прописал через 33 процеса и его опятьже не видно , и гери реестра не помагают потомучто черес секунду все на старом месте ...

вопрос почему не сконценрировать внимание в плане противодейсвия вирусу и именнно по атаке на утилиту(AVZ ) и щемить гада ,а то все самое трудное сделай сам, а сливки лакать программе(в том числе и др прогах)...

antanta
20.08.2010, 22:45
QUARQ,
кое как удолось эту гадость усмерить ручками и выгрузить из оперативной памяти и только тагда весь мой арсенал заработал!
Не поделитесь навыками мануальной терапии? В частности, интересует механизм выгрузки из памяти вручную.

почему вирус на порядок умнее и сильнее любой программы которая призвана противодейсвовать, найти и обезвредить? кто первый встал, того и тапки. Правда, бывают варианты.
а сейфмод или наглухо отрубленый :rtfm:

Шапельский Александр
20.08.2010, 22:58
Не поделитесь навыками мануальной терапии? В частности, интересует механизм выгрузки из памяти вручную.
Легко!:) Планку памяти вытащите из МП:D
Внимание! Это делать нельзя! (на всякий случай, а то могут и выдернуть)

Nerimash
21.08.2010, 11:42
мой знакомый так не один винт спалил выдергивая шлейфы на лету ))

Добавлено через 2 минуты

кстати, Олег как там обстоят дела с менеджером дров для х64? В кашмарском 2011 уже работает.

QUARQ
21.08.2010, 16:46
QUARQ,
Не поделитесь навыками мануальной терапии? В частности, интересует механизм выгрузки из памяти вручную.
кто первый встал, того и тапки. Правда, бывают варианты. :rtfm:
в том конкретном случае это выглядело весма просто:

машина подтормаживала , я попытался выгрузить по очереди 3 левых процесса нашел вариант, как выгрузить второй процесс пака не успел востоновиться первый (если тормаза недостаточны для замедления перезагрузки процесса , надо их добавить искуственно) выгрузил все три процесса после чего удалось загрузить "медецинский арсенал"...
а вообще можно играться с оболочкой экплорера ,если процес на нем паразетирует ,как это было с "вымагателеми смс"

для тех кто не вкурсе :
жмем кнопку пуск (окно вымагателя это все позволяет сделать)
открываем блокнот, ворд , любой текстовый документ пишем абракодабру и жмем на системние большую кнопку и смотри как по очереди закрываются все окна, закрывается вымагатель а под канец наша писанина с тобличкой о сохронении документа бысренко жмем отмена ! все можно дальше щемить заразу

ну итак далее далее далее ,все сразу неупомнишь

antanta
21.08.2010, 19:40
Удивительно, что зверёк препятствует запуску разных утилит, заблокировал редактирование реестра, а о диспетчере задач подзабыл. Или таки использовалась альтернативная утилита? Теперь еще и такое везение с выгрузкой. Нет, чтобы внедриться в легальные потоки... В совокупности все это выглядит как экзотический случай, и повод для наезда :) Или как желание поделиться знаниями с общественностью.