поставил Outpost после VBA32.P 4.x после ребута появилось сообщение что завелся в системе руткит, снес Outpost пропало, поставил Outpost Security Suit 2007 Beta 5 тоже самое!
Printable View
поставил Outpost после VBA32.P 4.x после ребута появилось сообщение что завелся в системе руткит, снес Outpost пропало, поставил Outpost Security Suit 2007 Beta 5 тоже самое!
[QUOTE=darzanebor;104361]поставил Outpost после VBA32.P 4.x после ребута появилось сообщение что завелся в системе руткит, снес Outpost пропало, поставил Outpost Security Suit 2007 Beta 5 тоже самое![/QUOTE]
Да, это известная проблема "несовместимости" (хотя без видимых проблем совместной работы). Если Вас это беспокоит - снимите настройку Поиск программ типа Rootkit (Диспетчер - Инициализация). Такая реакция антивируса связана с особенностями перехвата функций ядра ОС, используемыми некоторыми Firewall. В дальнейшем эта проблема будет решаться.
Система стала вести себя странно, на всех машинах при запуске любого приложения или документа:
---------------------------
E:\Documents and Settings\Administrator\Desktop\New Text Document.txt
---------------------------
Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.
---------------------------
OK
---------------------------
Так же, часть пользователей не может зайти под своими аккаунтами на машины... полный бардак, короче :-)
Данное поведение наблюдается на машинах под windows 2000, windows XP x64, на других, пока, просто не смотрел.
при обновлении были получены:
11:05:44 28-04-2007 Получен файл E:\Program Files (x86)\Vba32\script.udb
11:05:48 28-04-2007 Получен файл E:\Program Files (x86)\Vba32\up000023.krn
11:06:12 28-04-2007 Получен файл E:\Program Files (x86)\Vba32\win32.udb
11:06:12 28-04-2007 Получен файл E:\Program Files (x86)\Vba32\VBA32NTP.ini
Необходимо предоставить еще какие данные?
[QUOTE=Гость;106602]Система стала вести себя странно, на всех машинах при запуске любого приложения или документа:
---------------------------
E:\Documents and Settings\Administrator\Desktop\New Text Document.txt
---------------------------
....................
Необходимо предоставить еще какие данные?[/QUOTE]
Нет, спасибо. Данные не нужны. Пока обновление бета-версии лучше не проводить (на внешних серверах уже закрыто ... до вечера), возможно остались внутренние ресурсы... их лучше перекрыть. Проблемы были с ядром - в ночном обновлении будет проблема исправлелена. Приносим извинения.... за серьезные неудобства.
Для возобновления работоспособности некоторых программ (там где появились проблемы) нужно временно выключить мониторы (если ПК предполагается перезагружать, то можно выключить "Включение монитора при старте Диспетчера". Основные проблемы должны исчезнуть. Спасибо за оперативное сообщение.
Пятница, вечер, на работе. Приходит пользователь с жалобой на недоступность сетевых дисков. Иду и обнаруживаю, что около 150 файлов Винды лежат в карантине VBA с _детектом_ Java-Downloaderа- драйвера, системные.. Чудом запустилась,смог восстановить с помощью System Restore.
На соседней аналогичной машине всё в порядке.
Данные смогу предоставить в среду, но интересны мнения, что это могло быть?
[QUOTE=MedvedD;106877]Данные смогу предоставить в среду, но интересны мнения, что это могло быть?[/QUOTE]
Ложняк.:)
[quote=Синауридзе Александр;106879]Ложняк.:)[/quote]
Да, но компьютеры одинаковые, дистрибутив системы одинаковый, ВБА обновляется синхронно - Почему только на одном такое случилось?
Настройки может отличные? Эвристика может на одном параноик, на другом нет.
[QUOTE=MedvedD;106882]Да, но компьютеры одинаковые, дистрибутив системы одинаковый, ВБА обновляется синхронно - Почему только на одном такое случилось?[/QUOTE]
Надо смотреть логи. Может по ним можно что-то сказать более определенно.:)
[QUOTE=anton_dr;106906]Настройки может отличные? Эвристика может на одном параноик, на другом нет.[/QUOTE]
Есть и такая вероятность.;)
Вот какая ситуация, например, была у меня. На почтовый сервер идет спам в довесок с червем Worm.A (назовем его так). VBA32 его определяет как Worm.A.xy и успешно удаляет. После всего этого через некоторое время VBA32 обновляется. Опять идет спам с тем же вложением. Антивирус молчит! Опять VBA32 обновляется и опять прет спам все с тем же червем Worm.A. Теперь же антивирус определяет его как Worm.A.yx. В результате "перетрубации" баз имеем несколько пропущенных писем с Worm.A. Вот Вам и реальный пример.:)
[QUOTE=Синауридзе Александр;106953]Надо смотреть логи. Может по ним можно что-то сказать более определенно.:)
Есть и такая вероятность.;)
Вот какая ситуация, например, была у меня. ....... :)[/QUOTE]
Да, логи действительно могут помочь.... и с настройками разобраться и с проблемами и с пропущенными червяками (хотя неоднократно бета-тестеры предупреждаются, что бета-версия не предназначена для обеспечения надежной защиты) : У бета-версии совсем другие задачи... Если проблемы с бетой ( по теме форума), то присылайте на [email][email protected][/email]. Будем пробовать разобраться со всеми проблемными ситуациями. Касательно обнаружения на одной машине ВП и не обнаружения на другой - нужны логи с обоих ПК. Для файловых средств используйте Sendlogs.
Вышла на стадию Бета-тестирования версия 3.12.1
* Изменен загрузчик ядра. Решена проблема с зависанием при прерывании проверки
* Изменены алгоритмы поиска скриптовых вирусов. Алгоритмы стали быстрее и требуют меньше памяти
* Изменен формат базы Win32-вирусов. Базы стали компактнее. Занимают меньший объем на диске и в памяти
* Исправлена ошибка с невыключением компьютеров под 9x системой
* Исправлена ошибка с выключением монитора при LogOff под 9x системой
Основные изменения касаются резкого (практически в 2 раза) уменьшения ресурсопотребления Комплексом и увеличение скорости работы, как антивируса, так и всей операционной системы. Скриптовые базы пока неполные.
Ждем отзывов результатов тестирования - релиз не за горами...
А о тех у кого фон консоли белого цвета не подумали?:)
[COLOR="Yellow"]/media/ntfs/hdb1/.../first_undo.reg : is suspected of Trojan.WinREG.Noall#1[/COLOR]
Файл отправлять не стал, так как явный ложняк. Создается комплексом Neo Utilities.
[QUOTE=Синауридзе Александр;114884]А о тех у кого фон консоли белого цвета не подумали?:)
[COLOR="Yellow"]/media/ntfs/hdb1/.../first_undo.reg : is suspected of Trojan.WinREG.Noall#1[/COLOR][/QUOTE]
Какой бы Вы цвет предложили, чтоб всем ОК было? Будет всем хорошо - изменим.
[QUOTE=Синауридзе Александр;114884]Файл отправлять не стал, так как явный ложняк. Создается комплексом Neo Utilities.[/QUOTE]
Вероятнее всего это текущий релиз... В Windows продуктах (бета) скриптовая часть обновлена - ложняков меньше, скорость выше. В ближайшем будущем и база будет полная. Для Linux продуктов пока так. Спасибо.
Здравствуйте!
[QUOTE=HA;115258]Какой бы Вы цвет предложили, чтоб всем ОК было? Будет всем хорошо - изменим.[/QUOTE]
Ну с желтым явно не угадали. Любой цвет который будет хорошо смотреться и на белом фоне тоже, а так выглядит ну совсем плохо.
[QUOTE=HA;115258]Вероятнее всего это текущий релиз... В Windows продуктах (бета) скриптовая часть обновлена - ложняков меньше, скорость выше.[/QUOTE]
Угу.:)
привет беттеры! коллеги, скажите, рашьше ключ можно было взять [url]http://www.anti-virus.by/beta/update/****key[/url] - а теперь видимо проблемы? кто как?
[QUOTE=kosmonaft;119152]привет беттеры! коллеги, скажите, рашьше ключ можно было взять [url]http://www.anti-virus.by/beta/update/****key[/url] - а теперь видимо проблемы? кто как?[/QUOTE]
У меня нет проблем.;)
Действительно, если активно участвовать в бета-тестировании, то проблем с ключами не будет.... :)
Для участия в тестировании напишите на [email][email protected][/email] ... В ближайшее время политика с бета ключами будет более жесткой. Ключи будут предоставляться только реальным участникам тестирования.
а что именно писать? кто чем занимаюсь и что использую - достаточно?
[QUOTE=kosmonaft;119736]а что именно писать? кто чем занимаюсь и что использую - достаточно?[/QUOTE]
Вполне достаточно. При этом нужно ознакомиться и принять условия участия в бета-тестировании vba32 (есть на сайте __http://anti-virus.by/download/beta/ и более подробные высылаются с ключевым файлом). В ближайшее время будет несколько скоректирована политика бета-тестирования и => порядок выдачи ключевых файлов. Ждем Вас в рядах бета-тестеров.
Что означает Segmentation faultctions/.strtab после чего сканер вылетает?
[quote=Синауридзе Александр;121838]Что означает Segmentation faultctions/.strtab после чего сканер вылетает?[/quote]
Судя по всему наша консоль очень некрасиво умирает.
Сам вывоб немного испоганен выводом строки Segmentation fault.
Если у Вас это горе востпроизводится - опишите, пожалуйста,
среду, в которой оно проявляется:
достаточно ли места на диске в каталоге /tmp и в памяти?
какие права выставлены на файл, на котором падаем?
какая файловая система, на которой лежит файл?
если от файловой системы особо ничего не зависит - пошлите,
пожалуйста, файл нам.
Спасибо.
[QUOTE=slyfox;122036]Судя по всему наша консоль очень некрасиво умирает.[/QUOTE]
Ну я бы так не сказал.:) Сегодня снес VBA32 и поставил по новой (только без обновлений). Вот:
/media/ntfs/hdb1/.../A0014719.dll : infected Trojan-Downloader.Win32.Agent.bcw
/media/ntfs/hdb1/.../A0016497.dll : infected Trojan-Downloader.Win32.Agent.bcw
/media/ntfs/hdb1/.../A0016499.dll : infected Trojan-Downloader.Win32.Agent.bcw
/media/ntfs/hdb1/.../A0016498.dll : infected Trojan-Downloader.Win32.Agent.bcw
/media/ntfs/hdb1/.../A0017154.dll : infected Trojan-Downloader.Win32.Agent.bcw
/media/ntfs/hdb1/.../A0018980.dll : infected Trojan-Downloader.Win32.Agent.bcw
/media/ntfs/hdb1/.../A0020229.dll : infected Trojan-Downloader.Win32.Agent.bcw
/media/ntfs/hdb1/.../A0020332.dll : infected Trojan-Downloader.Win32.Agent.bcw
/media/ntfs/hdb1/.../A0020435.dll : infected Trojan-Downloader.Win32.Agent.bcw
/media/ntfs/hdb1/.../A0020612.dll : infected Trojan-Downloader.Win32.Agent.bcw
Directories : 11315 Files in archives: Files on disks:
Archives: - total : 0 - total : 112763
- scanned : 0 - scanned : 0 - scanned : 111836
- contain viruses : 0 - infected : 0 - infected : 10
- deleted : 0 - suspected : 0 - suspected : 1
Startup : 18:12:02 11-07-2007
End : 19:41:02 11-07-2007
Total time : 01:29:00
Даже трояны были обнаружены.:) Но все это с движком 3.11.2.
[QUOTE=slyfox;122036]Сам вывоб немного испоганен выводом строки Segmentation fault.[/QUOTE]
Ну да.
[QUOTE=slyfox;122036]Если у Вас это горе востпроизводится - опишите, пожалуйста,
среду, в которой оно проявляется:
достаточно ли места на диске в каталоге /tmp и в памяти?
какие права выставлены на файл, на котором падаем?
какая файловая система, на которой лежит файл?
если от файловой системы особо ничего не зависит - пошлите,
пожалуйста, файл нам.[/QUOTE]
Система ASP Linux 10. У меня 3 ядрышка, и проблема присутствует на всех. Памяти 512 метров, хотя раньше и на 256 все работало прилично.
Это по /tmp:
/dev/hda7 2.0G 34M 1.9G 2% /tmp
Скорее всего дело в новом движке 3.12.
С какими параметрами лучше запуститься, чтобы выяснить на чем помираем? Файл + лог с меня.;)
[quote=Синауридзе Александр;122085]
С какими параметрами лучше запуститься, чтобы выяснить на чем помираем? Файл + лог с меня.;)[/quote]
Ну чтобы примерно определить где - лучше запускать с дополнительными параметрами -r=report_filename и -ok - будет показывать все проверенные файлы. Cамого файла скорее всего в логе видно не будет :[.
[QUOTE=slyfox;122196]Cамого файла скорее всего в логе видно не будет [/QUOTE]
Так как же быть?:(
[quote=Синауридзе Александр;122329]Так как же быть?:([/quote]
Есть еще 1 секретный метод :]. Сканировать нужные файлы по списку: сначала генерится список необходимых файлов, например: find /usr > /tmp/file.list А потом сканится: vbacl [обычные ключи] -ok -r=/tmp/vba.rpt @/tmp/a.list С большой вероятностью мы падаем на файле, следующем после последнего файла в /tmp/vba.rpt с пометкой : ok или infected ;] Надеюсь больше поможет
Последние строчки лога (vbacl / -r=vba32.rpt -ok):
/proc/2463/maps : ok
/proc/2463/mem : ok
/proc/2463/mounts : ok
/proc/2463/attr/current : ok
/proc/2463/attr/prev : ok
/proc/2463/attr/exec : ok
/proc/2463/attr/fscreate : ok
/proc/2463/wchan : ok
Само сообщение об ошибке в лог не пишется.:(
Новый движок выдает Segmentation faultf8/sections/.strtab после чего происходит падение сканера.:(
[quote=Синауридзе Александр;124743]Новый движок выдает Segmentation faultf8/sections/.strtab после чего происходит падение сканера.:([/quote]
По всей видимости падение происходит на "ненормальных" файлах
из файловой системы sysfs (каталог /sys). Они имеют всякие гадкие
особенности, от которых консоли может стать плохо. У нас эта проблема не
воспроизводится. Как только мы будем готовы анализировать core файлы -
я попрошу Вас выслать заархивленную версию, если последующие релизы
будут падать.
[QUOTE=slyfox;127540]По всей видимости падение происходит на "ненормальных" файлах из файловой системы sysfs (каталог /sys). Они имеют всякие гадкие особенности, от которых консоли может стать плохо.[/QUOTE]
Странно. В версии движка 3.11 все же нормально работало.:?
[QUOTE=slyfox;127540]У нас эта проблема не воспроизводится.[/QUOTE]
Очень странно это слышать от Вас.:( Может имеет смысл ее воспроизвести?
[QUOTE=slyfox;127540]Как только мы будем готовы анализировать core файлы -
я попрошу Вас выслать заархивленную версию, если последующие релизы
будут падать.[/QUOTE]
Заархивированную версию чего? Не совсем понятно что надо высылать, но я готов добить эту проблему до конца. Самое главное не пропадайте с форума.;)
[quote=Синауридзе Александр;127569]Странно. В версии движка 3.11 все же нормально работало.:?
Очень странно это слышать от Вас.:( Может имеет смысл ее воспроизвести?
Заархивированную версию чего? Не совсем понятно что надо высылать, но я готов добить эту проблему до конца. Самое главное не пропадайте с форума.;)[/quote]
Для воспроизведения проблемы пришлось таки поставить ASPLinux 10 :].
Действительно на нем падаем. Написал простенький тестик, который показывает
проблему ядра ASPLinux (на ядрах от других дистрибутивов не повторяется).
Проблема в некорректной проверке ядром ОС операций, производимых на
файловой системе sysfs в linux (возможно виноваты патчи комманды ASPLinux).
Я послал Вам письмо с простой программкой, которая указывает на проблему
ядра. Вы можете использовать его в качестве теста "имеет ли проверяемая
система данный глюк?". Исходник тестика имеет смысл отослать в службу
поддержки ASPLinux (если глюк проявляется на новых версиях ядра).
Раньше прожка не вылетала потому, что использовался немного другой
алгоритм поиска скриптовых вирусов. Теперь мы копаемся в текстовых
файлах чуть больше.
Уважаемые Бета-тестеры.
Начинается Бета-тестирование Комплекса Vba32 for Vista.
Желающие принять участие могут сообщить об этом на [email][email protected][/email] и получить ключевой файл. Данный ключевой файл действителен и для других комплектаций бета-версий Комплекса Vba32.
(ExpirationDate=30.11.2007)
Инсталляционный пакет Комплекса Vba32 for Vista можно скачать с
_ftp://www.open.by/vba/beta/vba32-vista-3.12.4.1-beta-english.msi
Обновление Комплекса проводится по традиционному пути для
бета-тестирования
_http://www.anti-virus.by/beta/update/
Известные проблемы использования Комплекса приведены в Whatsnew.win
ИЗВЕСТНЫЕ ПРОБЛЕМЫ
1. Рекомендуется использовать для установки Комплекса только пути, предлагаемые по умолчанию. Установку и
удаление Комплекса производить под Администратором.
2. Возможно замедление работы и зависание ОС при включенном Мониторе.
3. Возникают проблемы с загрузкой и работоспособностью Комплекса при переключении и Log off пользователей.
4. Неактуализированы и не работают всплывающие подсказки и файлы помощи.
5. Не работает прямая отправка файлов в SendLogs и Карантине.
6. Реализованы не все ключи командной строки для графической части.
7. Консольный сканер через ядро Диспетчера работает в Демо-режиме.
8. Отсутствует защита процесса Диспетчера.
9. Некорректно работают условия приостановки фоновой проверки.
10. Текст в заголовках диалоговых окон в Сканере может отображаться некорректно.
Ждем Ваши замечания и предложения по работоспособности Комплекса в различных условиях и функциональности данной комплектации.
Заранее благодарим Вас за активное участие в Бета-тестировании.
Обновлена Бета-версия Комплекса Vba32 для ОС Vista.
Улучшена стабильность и дорабатывается внутренняя архитектура. Исправлены недостатки, указанные бета-тестерами.
Обновлен инсталляционный пакет (только для ОС Vista)
_ftp://www.open.by/vba/beta/vba32-vista-3.12.4.1-beta-english.msi
*** 10.09.2007
* исправленна проблема с пропаданием иконки
* исправлена проблема с некорректной установкой сервисов
при установке комплекса
* работает прямая отправка файлов в SendLogs и Карантине
* реализована работоспосбность утилиты SendLogs(Диспетчер-> Поддержка->
Обратиться за поддержкой)
* исправлена ошибка при смене курсора на пункте Поддержка
Спасибо за активное участие, ждем дальнейших предложений.
Обновление бета-версии (Vba32 для ОС Vista) включает в себя следующие изменения:
* включена защита процессов Диспетчера
* реализовано периодическое обновление комплекса
* сделана корректная загрузка комплекса при переключении пользователей
* реализовано взаимодействие с Security Center
* сделана анимированная иконка в SysTray при обновлении
Спасибо за активное участие, ждем дальнейших предложений и замечаний.
Куда делся батник heuristics-test? В архиве с новой версией его нет. С ним удобно было.:(
[QUOTE=Синауридзе Александр;139111]Куда делся батник heuristics-test? В архиве с новой версией его нет. С ним удобно было.:([/QUOTE]
На данный момент он несколько утратил свою актуальность, но Вы можете использовать прежний. От версии к версии он практически не меняется.
[QUOTE=HA;139940]На данный момент он несколько утратил свою актуальность, но Вы можете использовать прежний.[/QUOTE]
Я и использую.:) Все же надо вернуть ему актуальность и перезалить архивы на ftp.
Обновление бета-версии (Vba32 для ОС Vista) включает в себя следующие изменения:
*** 08.10.2007
+ реализовано расширение контекстного меню Проводника
+ реализован вызов файлов помощи
+ реализовано обслуживание карантина
+ в утилиту SendLogs добавлена возможность указывать
настройки прокси сервера
Обновился инсталляционный пакет для Комплекса VBA32 for Vista - устранено достаточно большое количество проблем с установкой. Дополнительно в данный пакет внесен модуль расширения меню Проводника (ECM). Перед тестированием данного пакета - необходимо разинсталлировать предыдущую версию, убедиться в том, что в реестре не осталось записей (драйвера, сервисы, автозагрузка, компоненты Комплекса Vba32). В случае их нахождения - необходимо удалить эти записи.
Новый пакет можно скачать
_ftp://www.open.by/vba/beta/vba32vista-3.12.4.1-beta-english.exe
Обновление бета-версии (Vba32 для ОС Vista) включает в себя следующие изменения:
*** 23.10.2007
+ поддержка ключей командной строки
+ звуковое оповещение ключевых событий Комплекса
+ остановка проверки сложных объектов в Сканере
+ работоспособность консольного сканера через ядро
Диспетчера
* исправлена ошибка с отображением даты обновления Комплекса во
всплывающей подсказке
* Security Center определяет Vba32 for Windows Vista как
"Antispyware and other malware protection"
Благодарим участников бета-тестирования за активное участие,
ждем дальнейших предложений и замечаний.
Уважаемые бета-тестеры.
Компания ВирусБлокАда выпустила первую beta-версию нового модуля Vba32 AntiRootkit, задачей которого является обнаружение и нейтрализация руткитов – программ, обеспечивающих постоянное, устойчивое и неопределяемое присутствие на компьютере. При этом осуществляется поиск как уже известных (добавленных в базу), так и неизвестных типов руткитов.
Использовать данную программу можно запустив файл Vba32arkit.exe (в каталоге с установленным Комплексом) из состава бета-версии после последнего обновления.
При тестировании данного модуля больше всего интересует:
1. Стабильность работы нового модуля
2. Функциональность интерфейса и его понятность
3. Работоспособность под различными ОС
4. Файлы отчетов о подозрительных и инфицированных объектах
5. По возможности сами файлы, которые были определены как подозрительные или инфицированные и описание программ, к которым они относятся
6. Файлы заведомо инфицированные, но не обнаруженные данным модулем
7. Информация, которую Вам хотелось бы увидеть в файле помощи (пока только на русском языке)
Всю необходимую информацию желательно высылать используя программу SendLogs.exe (Диспетчер– Поддержка – Обратиться за поддержкой)