AVZ 4.29

[QUOTE=Зайцев Олег;201285]я продумываю вариант AVZ под Linux[/QUOTE]
И как успехи? Может поделитесь информацией?:)

[quote=Синауридзе Александр;204170]И как успехи? Может поделитесь информацией?:)[/quote]
В статии размышления :) Я попробовал создать загрузочную флешку/CD, в принципе все получается неплохо ... но образ по размеру получается не такой уж и маленький. Поэтому сейчас задача номер 1 в размешлениях - как получить минимальный размер образа для такого загрузочного носителя

Навенрое Linux поможет. Он маленький. Можно попробовать на win 98 сильно урезаном. [url]http://4pda.ru/forum/attach/794398/MINI98.rar[/url] Ой, он NTFS не видит, но я видел патч какой-то. Да вот же он [url]http://freeware32.ru/index.php?name=NTFS_for_Windows_98&program=100[/url]

[quote=Биомеханик;204206]Навенрое Linux поможет. Он маленький. Можно попробовать на win 98 сильно урезаном. [URL]http://4pda.ru/forum/attach/794398/MINI98.rar[/URL] Ой, он NTFS не видит, но я видел патч какой-то. Да вот же он [URL]http://freeware32.ru/index.php?name=NTFS_for_Windows_98&program=100[/URL][/quote]
Для NTFS у меня есть собственный "драйвер", позволяющий работать с NTFS томом напрямую, в режиме "только чтение" это не опасно. Но с урезанным Windows я затеваться не хочу - полученный "миниWindows" нельзя положить никудя для публичного доступа, так как его распространение будет нарушением лицензии

Выходит либо linux либо Windows PE?

[quote=Биомеханик;204224]Выходит либо linux либо Windows PE?[/quote]
Да, именно так. Причем с Windows PE я не знаю лицензионной политики, можно что-то делать на его базе или нет. С Linux в этом плане проще, но в остальном - сложнее. С другой стороны, под Linux задумывается сильно урезанный AVZ, по сути интерпретатор скрипта для того, чтобы можно было загрузиться и выполнить скрипт удаления и карантина трудноубиваемой заразы

[QUOTE=Зайцев Олег;204226]С другой стороны, под Linux задумывается сильно урезанный AVZ, по сути интерпретатор скрипта для того, чтобы можно было загрузиться и выполнить скрипт удаления и карантина трудноубиваемой заразы[/QUOTE]
Так это нам и надо.:)

А логи как он будет снимать из линукса?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Кто с трафиком? Поройтесь тут [url]ftp://ftp.kernel.org/pub/linux/utils/boot/syslinux/[/url]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

И ещё вот эту прогу [url]http://www.prime-expert.com/flashboot/[/url]
[url]http://rapidshare.com/files/29372805/FlashBoot_1.4.0.157_portable.rar[/url]

[url]http://technet.microsoft.com/ru-ru/magazine/cc137812.aspx[/url] - статейка про winPE
[quote]Windows PE 2.0 — это бесплатный компонент пакета автоматический установки Windows для всех лицензий Windows. Эта лицензия применяется не только для развертывания, но также для использования Windows PE для целей восстановления и устранения неисправностей.[/quote]

Для Windows PE нужен дистрибутив windows/ А если у пользователя его нет. И как он будет нго создавать на неработающем компьютере. И как туда вшить AVZ? Как оформить?
Вот FlashBoot как я понял может взять за основу файлы уже установленной ОС (отподает вопрос с лицензией).

[QUOTE]
Работа в этой программе устроена по принципу «Помощника»: «Раз! Два! Три! Готово!»
Вам потребуется только вставить флэшку в USB-разьем, а системный CD-диск или дискетку — в дисковод, запустить программу и следовать инструкциям на экране. К тому же, «FlashBoot» умеет конвертировать загрузочные BartPE-диски или обычные загрузочные CD в загрузочные Flash-диски, конвертировать для этой же цели загрузочные DOS/Linux диски, создавать загрузочные USB Flash-диски с имидж-образов дискет. Это, так сказать, для лентяев. Но есть у программы и уникальные возможности, такие, как создание flash-диска для восстановления паролей Windows NT/2000/XP, создание загрузчика Windows NT/2000/XP, дублирование загрузочных USB Flash-дисков и создание их файлов-образов.
Все, что вам нужно будет сделать, это выбрать в едином окне один из вышеприведенных вариантов действий, при необходимости, указать источник системных файлов или образ диска, выбрать USB-диск из списка дисков и выбрать тип диска: «Partitioned disk» — для загрузки как USB-HDD или «Superfloppy» — для загрузки как USB-ZIP.
Остается только посетовать, что обе программы идут только под Windows 2000/XP. Удачной вам загрузки.
[/QUOTE]

с 19-го по 21-ее число нет обновлений базы АВЗ?
Перевелись вирусы?

[QUOTE=АлександрУ;204894]с 19-го по 21-ее число нет обновлений базы АВЗ?
Перевелись вирусы?[/QUOTE]
Дайте человеку отдохнуть ;)

КасперЛабу или Олегу?

[quote=АлександрУ;204894]с 19-го по 21-ее число нет обновлений базы АВЗ?
Перевелись вирусы?[/quote]
Нет обновлений где ? На сайте лежит база за 20.03, вчера лежала за 19.03 и т.п. - по показаниям приборов она выходит ежедневно. Просто я стараюсь обновлять ее вечером, а не утром - тогда нагрузка на сайт менбше и глюков соответственно меньше

Только сейчас обновился - "обновления баз не требуется"

последнее обновление вот это:

м Имя │ Размер │ Дата
main040 avz│ 28723│19.03.08

[quote=AStr;204931]Только сейчас обновился - "обновления баз не требуется"

последнее обновление вот это:

м Имя │ Размер │ Дата
main040 avz│ 28723│19.03.08[/quote]
Это очень плохо - похоже main040 "залип" и не обновляется. Сейчас вручную вычищу FTP папки и прогоню обновление еще раз - через минут 10 есть просьба - нужно еще раз запустить апдейт и посмотреть, притащит он main040 или нет. Правильный файл имеет размер 33797 байта.
Обновление завершено, можно пробовать

Теперь обновляется Ok. Спасибо.

если я что-то отсылаю на newvirus СОБАКА z-oleg.com, то должен ли приходить ответ какой-то?
А то пару раз отсылал подозрительные файлы, но после обновлений AVZ реагирует на эти файлы без изменений

[QUOTE=Биомеханик;204299]Для Windows PE нужен дистрибутив windows/ А если у пользователя его нет. И как он будет нго создавать на неработающем компьютере. И как туда вшить AVZ? Как оформить?
Вот FlashBoot как я понял может взять за основу файлы уже установленной ОС (отподает вопрос с лицензией).[/QUOTE]

FlashBoot - отдельная, причем платная вещь.

Win PE - встроена в систему. ИМХО пользователь не должен создавать сам образ с АВЗ. Он просто будет его закачивать из Инета. Если поискать, то уже сейчас лежит в Инете несколько образов Win PE с нужными утилитами.

[url]http://www.bousoft.com/winpe.php[/url] - здесь ее продают за 200руб.
Это не реклама и я ее не продаю.

[quote=tar;204954]если я что-то отсылаю на newvirus СОБАКА z-oleg.com, то должен ли приходить ответ какой-то?
А то пару раз отсылал подозрительные файлы, но после обновлений AVZ реагирует на эти файлы без изменений[/quote]
У моего хостера дикая защита стоит, многое рубится (а менять хостера я не хочу, так как мало кто будет терпеть измеряемый терабайтами трафик). Можно прислать мне файлы через форму на сайте, там все доходит, но оно падает в очередь анализатора и может лежать там долго ...

Для работы AVZ из-под Windows Preinstallation Environment(WinPE) и BartPE LiveCD удобно использовать RunScanner ([url]http://www.paraglidernc.com/plugins/runscanner.htm[/url]). Причём, можно сделать плагин, а можно просто выполнить команду RunScanner.exe /y /t 0 avz.exe для работы на целевой (удалённой=уделанной) системе. Всё, что должно работать для неактивной системы, работает, только не нужно забывать о регистрации необходимых библиотек (autorun0_runscanner.cmd) и размещении в каталоге AVZ файлов: RunScanner.exe, RunScannerDLL.dll (или указании пути к ним в переменных).
Испытывалось при загрузке WindowsXPE с Flash-брелока, вариант с загрузочным CD (DVD), судя по всему, тоже будет работать, но с небольшими неудобствами: сохранять логи и запускать AVZ c актуальными базами придётся на другом (перезаписываемом) носителе.

В процессе сканирования AVZ выдал предупреждение о маскировке процесса по всем выполняемым процессам, включая свой собственный
[quote]>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 4 System.exe
>>>> Обнаружена маскировка процесса 456 C:\WINDOWS\system32\smss.exe
>>>> Обнаружена маскировка процесса 496 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 524 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 568 C:\WINDOWS\system32\services.exe
>>>> Обнаружена маскировка процесса 580 C:\WINDOWS\system32\lsass.exe
>>>> Обнаружена маскировка процесса 724 C:\WINDOWS\system32\ati2evxx.exe
>>>> Обнаружена маскировка процесса 736 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 832 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 868 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 920 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1016 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1148 aswUpdSv.exe
>>>> Обнаружена маскировка процесса 1196 ashServ.exe
>>>> Обнаружена маскировка процесса 1384 C:\WINDOWS\system32\spoolsv.exe
>>>> Обнаружена маскировка процесса 1492 C:\WINDOWS\system32\Drivers\CDANTSRV.EXE
>>>> Обнаружена маскировка процесса 1524 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1592 mdm.exe
>>>> Обнаружена маскировка процесса 1820 C:\WINDOWS\system32\ati2evxx.exe
>>>> Обнаружена маскировка процесса 1932 C:\WINDOWS\explorer.exe
>>>> Обнаружена маскировка процесса 148 ashMaiSv.exe
>>>> Обнаружена маскировка процесса 200 ashWebSv.exe
>>>> Обнаружена маскировка процесса 484 C:\WINDOWS\system32\alg.exe
>>>> Обнаружена маскировка процесса 112 C:\WINDOWS\system32\WBEM\wmiprvse.exe
>>>> Обнаружена маскировка процесса 908 Amoumain.exe
>>>> Обнаружена маскировка процесса 1580 ashDisp.exe
>>>> Обнаружена маскировка процесса 1632 msmsgs.exe
>>>> Обнаружена маскировка процесса 1688 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 1772 MacroMaker.exe
>>>> Обнаружена маскировка процесса 1760 winlirc.exe
>>>> Обнаружена маскировка процесса 6628 IEXPLORE.EXE
>>>> Обнаружена маскировка процесса 6752 C:\WINDOWS\system32\notepad.exe
>>>> Обнаружена маскировка процесса 6860 IEXPLORE.EXE
>>>> Обнаружена маскировка процесса 6924 C:\WINDOWS\system32\wuauclt.exe
>>>> Обнаружена маскировка процесса 6212 qip.exe
>>>> Обнаружена маскировка процесса 7292 avz.exe[/quote]

Вопросов, собственно, да: а) что бы это могло значить; и б) как это можно побороть?

[quote=psw;205252]В процессе сканирования AVZ выдал предупреждение о маскировке процесса по всем выполняемым процессам, включая свой собственный


Вопросов, собственно, да: а) что бы это могло значить; и б) как это можно побороть?[/quote]

Это очень странно ... я бы советовал:
1. перезагрузиться и повторить опыт
2. Если ситуация повторится, то стоит сделать логи и поискать причину

Причин много - начиная от зловреда и заканчивая проактивкой, которая блокирует работу AVZ

Проактивки там нет, но есть \Windows\System32\alcop.sys, служба которого (alcop - alcop server) не желает удаляться ни под каким видом. Это может быть причиной?

psw- делайте логи- ;) [url]http://www.incodesolutions.com/threats2/System32Rootalcopsys.php[/url]

Да если б это было у меня...
У меня есть:
а) набор логов HJT и AVZ, где такого поведения еще нет
б) скрипт AVZ, который был выполнен
в) набор логов после выполнения скрипта, где такое поведение проявилось и ведет себя устойчиво: сохраняется после перезагрузок и проч.

Олег, планируется что-то делать с этим?
[quote]Справка для этой программы была создана в формате справки Windows, который использовался в предыдущих версиях Windows и не поддерживается в Windows Vista.
[/quote]

[quote=anton_dr;206868]Олег, планируется что-то делать с этим?[/quote]
Для начала посмотрю, действительно ли она не поддерживается на висте. Если да, то несложно перейти на CHM справку, или выпустить отдельный вариант документации в PDF формате. Оба этих решения тривиальны ...

мне не совсем понятна ситуация с ревизором. Он у всех не работает? Если да, то будут ли в ближайшее время исправления?

[quote=tar;207063]мне не совсем понятна ситуация с ревизором. Он у всех не работает? Если да, то будут ли в ближайшее время исправления?[/quote]
Очень скоро выйдет новый релиз, там все исправлено (расчетная дата - эти выходные)

Круто, спасибо.

А куда Олег пропал? В KIS 8 уже ноновведения добавили, а релиза нет.

Что случилось с обновлением базы безопасных? Последнее выходило 16 марта.

Общий привет,
скажите, люди добрые, планируется выпуск версии радактора скриптов для нерусских систем? У меня одни [B]???????????????????[/B] на всех кнопках....

[quote=Rene-gad;211659]Общий привет,
скажите, люди добрые, планируется выпуск версии радактора скриптов для нерусских систем? У меня одни [B]???????????????????[/B] на всех кнопках....[/quote]
Планируется - такая версия выйдет через 60 секунд (т.е. она уже вышла, но на сайте в процессе формирования анонс и ссылки). Через 1-2 минуты можно качать

Можно узнать список изменений?

[quote=Maxim;211679]Можно узнать список изменений?[/quote]
Мультиязычный интерфейс, поддержка всех новых команд скрипт-языка до версии 4.30 включительно

Дайте пожалуйста адрес, где качать последнюю версию, Здесь [url]http://z-oleg.com/secur/avz/download.php[/url] 4.29.09 от 12.12.07 в правилах тоже.

Ты не понял, обновился только редактор скриптов. [url]http://z-oleg.com/avz_se.zip[/url]

[QUOTE=Зайцев Олег;211665]Планируется - такая версия выйдет через 60 секунд [/QUOTE]
Спасибо. Надо было мне месяца на 3 раньше спросить ;)
Хорошо бы еще узнать, что тут от непосвященных сокрыто :>