AVZ 3.80 - тестирование, обсуждение, предложения по доработке

[QUOTE=Синауридзе Александр]Здравствуйте Олег !
В основную базу AVZ 3.82 включен вирус Win32.HLLW.Steal или надо пользоваться дополнением ? Будет ли AVZ лечить от этого вируса ? Спасибо.[/QUOTE]

Согласен. Было бы классно! Тем более, что реакция АВЗ на сетевой червь stealth.worm.exe была первой. Огромное спасибо за экстренное обновление!

по новой версии 8_2_0 замечание.

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 457, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 9:18:35
Сканирование длилось 00:00:59

Все же лучше звучит "подозрительные файлы НЕ..."

[U]Некоторые проблемы в Исследовании системы и Автокарантине остались:[/U]

1. В "Драйверах" не опознаются файлы без пути и расширений ([URL=http://virusinfo.info/showpost.php?p=54560&postcount=33]см. лог здесь[/URL]), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

2. Черные дыры в "Модуле расширения проводника" остались.

3. Не может найти файл в "Модуле расширения Internet Explorer". В реестре по CLSID, указанном AVZ, такие строки:
[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{34F8C0D0-06F7-4f71-9E8E-190337851167}]
"Script"="C:\\Program Files\\SaveChm\\SaveChm.vbs"
"ButtonText"="SaveChm"
"HotIcon"="C:\\Program Files\\SaveChm\\SaveChm.dll,207"
"Icon"="C:\\Program Files\\SaveChm\\SaveChm.dll,206"
"MenuStatusBar"="SaveChm"
"MenuText"="SaveChm"
"DefaultVisible"="Yes"
"ClSid"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"[/code]

[quote=Geser]Кстати, Олег, ты обещал скриптик для автоматического создания логов для форуме. Т.е. сканирование автозапуска + исследование системы. ;)[/quote]
Почти все готово - я запостил порвый скрипт из такой серии в теме про чистые файлы - он сканирует систему, вносить все подозрительное и неопознанное в карантин и после этого создает архив с наловленными файлами. На этой неделе я сделаю скрипт для проверки согласно правилам - для этого осталось пару команд в макроязыке протестировать...

[QUOTE=santy]Согласен. Было бы классно! Тем более, что реакция АВЗ на сетевой червь stealth.worm.exe была первой. Огромное спасибо за экстренное обновление!

по новой версии 8_2_0 замечание.

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 457, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 9:18:35
Сканирование длилось 00:00:59

Все же лучше звучит "подозрительные файлы НЕ..."[/QUOTE]
Главное, что "НЕ" с большой буквы :) А фразу я перестрою, "подозрительные файлы ..." действительно звучит лучше
stealth.worm.exe естественно ловится версией 3.82 - главная база включает в себя все апдейты.

в одной из последних тем ([url]http://virusinfo.info/showthread.php?t=3595[/url]) в логе 3.81 была такая запись в разделе "Автозапуск":
explorer.exe -- Ключ реестра C:\WINDOWS\system.ini, boot, shell
по моему вместо "Ключ реестра" должно стоять что-то типа "INI-файл"

и там же в строке
C:\WINDOWS\system32\userinit.exe, -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
стоит лишняя "," после имени файла (возможно поэтому файл не будет опознаваться по базе чистых)

Скачал новую версию. У меня в папочке /avz есть папка /подозрение. в ней 145 метров. Запускаю сканирование только этой папки - результат.

Протокол антивирусной утилиты AVZ версии 3.82
Сканирование запущено в 06.10.2005 14:51:22
...
3. Сканирование дисков
....
Просканировано файлов: 0, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 14:51:22
Сканирование длилось 00:00:00

[QUOTE=anton_dr]Скачал новую версию. У меня в папочке /avz есть папка /подозрение. в ней 145 метров. Запускаю сканирование только этой папки - результат.

Протокол антивирусной утилиты AVZ версии 3.82
Сканирование запущено в 06.10.2005 14:51:22
...
3. Сканирование дисков
....
Просканировано файлов: 0, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 14:51:22
Сканирование длилось 00:00:00[/QUOTE]
Да, это сделано специально - AVZ-у запрещено сканировать и лечить все, лежащее в его папке. Сделано умышленно ...

[QUOTE=Зайцев Олег]Да, это сделано специально - AVZ-у запрещено сканировать и лечить все, лежащее в его папке. Сделано умышленно ...[/QUOTE]
А, хорошо.

[quote=Зайцев Олег]Да, это сделано специально - AVZ-у запрещено сканировать и лечить все, лежащее в его папке. Сделано умышленно ...[/quote]
я, кстати, спрашивал об этом в привате, но ответа так и не получил. раз есть такая фича, то нужно честно о ней предупреждать, чтобы не вводить пользователя в заблуждение. а то чтоже это получается за карантин, который никогда не проверяется?

[QUOTE=MOCT]я, кстати, спрашивал об этом в привате, но ответа так и не получил. раз есть такая фича, то нужно честно о ней предупреждать, чтобы не вводить пользователя в заблуждение. а то чтоже это получается за карантин, который никогда не проверяется?[/QUOTE]
Я вроде-бы отвечал (честно говоря не помню ...), тут есть два момента:
1. Были случаи залечивания папки Infected
2. Били случаи кумулятивного карантина
Поэтому я блокировал проверку всего, что в текущей папке AVZ (т.е. папке, из которой стартован EXE). Т.к. AVZ лежит по умолчанию в отдельной папке, то это не влияет на его работу.
В доке я это пропишу ....

А зачем собственно проверять карантин? Есть возможность его промотра, этого достаточно. Вот если бы было обновление баз, а не всей программы вцелом, то тогда можно было бы сделать проверку карантина на опознавание содержащихся там подозрительных объектов.

Коллеги! Подскажите. пожалуйста, почему на ФТП сервере я вижу размер файла signf002.avz - 11264, а реально получается - 10409?

А AVZ этот файл принимает ?? Если да, то файл скачался верно ... я например вижу размер 10409 (FTP клиент, втроенный в FAR). Возможно, FTP клиент шалит ??

Качайте в BINARY режиме и будет вам щастье

О, а из дома вижу как надо. Пользуюсь Тотал Коммандером. Правда версии разные. Может и шалит ;-)).

Там сверху переключалка есть =)

Спасибо, обнаружил ;-))).

2Олег: Олег, такой вопрос. Со времён различных эпидемий, у меня остались файлы восстановления настроек реестра. Поддерживает ли АВЗ все эти вещи в настоящее время? (Т.е. можно ли выкинуть все эти файлы уже? ;0-))).

[QUOTE=Iceman]2Олег: Олег, такой вопрос. Со времён различных эпидемий, у меня остались файлы восстановления настроек реестра. Поддерживает ли АВЗ все эти вещи в настоящее время? (Т.е. можно ли выкинуть все эти файлы уже? ;0-))).[/QUOTE]
Аналог ie.reg точно есть (только расширенный);
аналог lsp_xp.reg и NET-LSP.txt я пока не делал, т.к. лечние ошибок LSP в AVZ делает нечто подобное, только корректно.
setassoc.reg, UNDO.REG, Fixswen.inf - этого точно можно выкинуть, микропрограмма "Восстановление параметров запуска .exe, .com, .pif файлов" делает на порядок больше
------
тут кстати от пользователей все чаще поступают заявки сделать кроме микропрограмм восстановления микропрограммы чистки (удаление кукизов, чистка TEMP, и т.п.)

[QUOTE=Зайцев Олег]тут кстати от пользователей все чаще поступают заявки сделать кроме микропрограмм восстановления микропрограммы чистки (удаление кукизов, чистка TEMP, и т.п.)[/QUOTE]
Чистка TEMP полезно будет. Особенно если будет чистить все временные директории, которых в ХП несколько штук, и не вылетать с ошибкой если файл занят системой. Еще не плохо сделать опцию чистки Prefetch.