AVZ 4.30

[quote=Jef239;302060]Читай [URL]http://virusinfo.info/showpost.php?p=300882&postcount=436[/URL][/quote]
Да все верно, Олег сказал, что лог формируется пути к файлу exe, но так же что можно ввести ключик командной строки(где указать путь), на что я спросил где ввести этот ключик, тогда мне снова ответили что лог формируется ..., я пояснил что запускаю avz с флешки, которая защищена от записи, а меня опять отправляют на ответ Олега.:D. Так как мне сохранить лог ???? Все-таки???????

Всё-таки, нужно учиться ЧИТАТЬ. Имеющиеся ключи AVZ перечислены в [url]http://www.z-oleg.com/secur/avz_doc/index.html?t_commandlinespec.htm[/url]
А в сообщении Олега "ввести" означат ДОБАВИТЬ к код программы AVZ через обновление баз.

@meir В ключике указать директорию, в которую Вы имеете право писать. После проверки логи окажутся там.

Похоже, параметра автоматического перенаправления лога, или специализированного ключа еще нет (в природе). В Справке о программе, или на сайте не нашел... [b]временное [/b] решение может быть таким: отредактировать скрипт лечения, который прилагается к АВЗ...
...
// Выполнение исследования системы
ExecuteSysCheck(AVZLogDir+'virusinfo_syscheck.htm');
// Завершение работы AVZ

Есть SpoolLog=<имя файла> - дублирование протокола в указанный текстовый файл.

[quote=Oyster;304374]Есть SpoolLog=<имя файла> - дублирование протокола в указанный текстовый файл.[/quote]
Это только для протокола, для исследования/карантина и т.п. не годится.
Я внес исправления, сегодня вечером они будут доступны через автоапдейт. Введен новый ключ командной строки [B]VI_Log_Path[/B], указание которого приводит к тому, что
1. Происходит перенаправление карантина и папки Infected в указанную папку
2. Все логи (HTML, XML, ZIP) и архивы с карантином сохраняются в эту папку
Действует это только на стандартные скрипты 2, 3, 4. При этом нужно помнить, что пробелы в чистом виде в параметрах недопустимы, и если путь их содержит, то нужно не забыть его взять в кавычки, например:
[B]avz.exe VI_Log_Path="C:\Вот сюда сохранить все логи" [/B]
или
[B]avz.exe "VI_Log_Path=C:\Вот сюда сохранить все логи"[/B]

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 58 минут[/I][/B][/color][/size]

Базы обновновлены, можно пробовать работу нового параметра

[QUOTE=Зайцев Олег;304385]Базы обновновлены, можно пробовать работу нового параметра[/QUOTE]Очень прошу, пересоберите AVZ с новыми базами.

Ура, avz.exe VI_Log_Path="C:\Вот сюда сохранить все логи" заработало :)
Олег,Не забудь пожалуйста переименовать по дефолту virusinfo_cure.zip в quarantine.zip ;)

Навеяно темой [url]http://virusinfo.info/showthread.php?t=33155[/url]
В отчете Исследовния системы в разделе Автозапуск видна ошибка разбора ключа UserInit. Там в пути одного из файлов имеются пробелы. В результате имеем 4 строки таблицы с обрывками пути этого файла.
[quote=Logfile HijackThis]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\ywxtymp.exe \s,C:\WINDOWS\system32\twext.exe,[/quote]
Как я понимаю, разделителями должны быть только запятые?

[quote=AndreyKa;304963]Навеяно темой [URL]http://virusinfo.info/showthread.php?t=33155[/URL]
В отчете Исследовния системы в разделе Автозапуск видна ошибка разбора ключа UserInit. Там в пути одного из файлов имеются пробелы. В результате имеем 4 строки таблицы с обрывками пути этого файла.

Как я понимаю, разделителями должны быть только запятые?[/quote]
Вообще-то разделителем вроде как может быть и пробел ... отсюда и такая работа парсера

[QUOTE=Зайцев Олег;304972]Вообще-то разделителем вроде как может быть и пробел ... отсюда и такая работа парсера[/QUOTE]

По этому поводу я тебе как-то уже писал :) Разделитель - только запятая.. и AVZ неправильно обрабатывает этот параметр. Я не могу себе представить, что в Microsoft они сделали так, чтобы разделитель был пробел, ведь тогда например такое значение параметра Userinit [code]C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\iexplore.exe[/code] не запустило бы этот файл при старте системы из-за пробелов в имени. А система его запустит - можешь проверить :)

[quote=Зайцев Олег ]Вообще-то разделителем вроде как может быть и пробел ... отсюда и такая работа парсера [/quote]
Эксперементальным путем получил подтверждение, что для ключа UserInit запятая является разделителем файлов, а пробел нет.

[QUOTE=NikolayFirsov;305405]
II. Что такое AVZGuard? это самозащита avz? если да то в ней есть недочёты, хотелось бы исправить:
1) запускаем process explorer , запускаем avz включаем AVZguard.
[/QUOTE]

Process Explorer устанавливает свой драйвер в систему.

[quote=zerocorporated;305413]Process Explorer устанавливает свой драйвер в систему.[/quote]
Вот именно - Process Explorer и его аналоги используют драйвер, равно как зловреды никого не убивают методами "как в explorer" :) Я прибил этот длинный список - это повтор аналогичного топика про KIS, причем половина вообще не в тему ... "типа я видел X в Y, хочу и тут" (а то, что оно уже есть или никому не нужно - это уже не важно)

Что с обновлением?
[URL=http://img232.imageshack.us/my.php?image=capture03112008161437mr5.png][IMG]http://img232.imageshack.us/img232/4534/capture03112008161437mr5.th.png[/IMG][/URL][URL=http://g.imageshack.us/thpix.php][IMG]http://img232.imageshack.us/images/thpix.gif[/IMG][/URL]

У меня все нормально...

У меня поврежденный [B]main053.avz[/B] :(

У меня обновление с z-oleg.com

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Хм... Уже нормально.

А у меня - 56ой.

а у меня 53

я обновил базы при помощи [URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]полного архива с обновлениями[/URL].

Можно проверять - все должно работать, апдейт исправлен

Скажите пожалуйста,почему при запуске AVZ у меня вместо текста цифры?

[QUOTE=Орхидея;305703]Скажите пожалуйста,почему при запуске AVZ у меня вместо текста цифры?[/QUOTE]

Проблема с кодировкой в виндоус, решить можно использовав английский интерфейс- будут английские буковки вместо цифр.
Что нужно:
- создать ярлык к исполняемому файлу avz
- нажать правой кнопкой по созданному ярлыку, выбрать вторую ячейку(ярлык) в верхнем окошке( цель=target)заполнить Путь к папке с avz и добавить /avz.exe lang=en
-запускать avz, нажимая на данный ярлык

Если всё же хочется на русском, нужно зайти в панель управлени(= Control Panel),выбрать "Язык и региональные стандарты"(=Regional and Language Options )
На вкладке "Дополнительно" (=Details) вы можете выбрать языковую поддержку для программ не использующих формат Юникод, для отображения информации на их собственном языке. Установите флажки напротив нужных кодировок.

[img]http://www.xnets.ru/plugins/content/2/1/41019.jpg[/img]

[QUOTE=drongo;305745]Проблема с кодировкой в виндоус, решить можно использовав английский интерфейс- будут английские буковки вместо цифр.[/QUOTE]
На немецких, французких и др. локализованных системах, содержащих [U][I]латинские буквы с акцентами и др. значками[/I][/U], описанное drongo приведет к кракозябрам вместо этих специфических букв. ;)

[quote=Rene-gad;305778]На немецких, французких и др. локализованных системах, содержащих [U][I]латинские буквы с акцентами и др. значками[/I][/U], описанное drongo приведет к кракозябрам вместо этих специфических букв. ;)[/quote]
Вот вот ... и проблемы не решит, так как все проще - если запустить AVZ прямо из архива, или извлечь оттуда только AVZ.exe, или извлечь все извращенным архиватором/способом нарушив структуру папок, то AVZ не найдет базу локализации и вместо всех сообщений покажет их коды (последнее сделано как отладочная фича нарочно, для локализаторов)

[QUOTE=Rene-gad;305778]На немецких, французких и др. локализованных системах, содержащих [U][I]латинские буквы с акцентами и др. значками[/I][/U], описанное drongo приведет к кракозябрам вместо этих специфических букв. ;)[/QUOTE]
это верно, не спорю.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

[QUOTE=Зайцев Олег;305782]Вот вот ... и проблемы не решит, так как все проще - если запустить AVZ прямо из архива, или извлечь оттуда только AVZ.exe, или извлечь все извращенным архиватором/способом нарушив структуру папок, то AVZ не найдет базу локализации и вместо всех сообщений покажет их коды (последнее сделано как отладочная фича нарочно, для локализаторов)[/QUOTE]

А тут могу поспорить.У меня не решило. Я распаковывал как всегда винраром в отдельную папку- и всё равно проблема с крякозябрами в avz, когда запускаю с русским интерфейсом.(например сейчас выбрал в настройках язык отличный от русского и перегрузился.)
вот что получилось:
[URL=http://imageshack.us][IMG]http://img373.imageshack.us/img373/8000/avzguisw8.png[/IMG][/URL]

У вас, однако же, не цифры на экране.

[QUOTE=pig;305947]У вас, однако же, не цифры на экране.[/QUOTE]
Ну я думал это с той же оперы :)К тому же, мне от этого не легче. Интересно, что исправляется именно когда делаю как на указанной мною картинке, вот и предположил что у человека тоже исправиться.Есть идеи как исправить без проделанных мною изменений?

[QUOTE=Зайцев Олег;304385]
2. Все логи (HTML, XML, ZIP) и архивы с карантином сохраняются в эту папку
Действует это только на стандартные скрипты 2, 3, 4. При этом нужно помнить, что пробелы в чистом виде в параметрах недопустимы, и если путь их содержит, то нужно не забыть его взять в кавычки, например:
[B]avz.exe VI_Log_Path="C:\Вот сюда сохранить все логи" [/B]
или
[B]avz.exe "VI_Log_Path=C:\Вот сюда сохранить все логи"[/B]
[/QUOTE]

1. Я так понимаю эти команды нужно написать в батнике, который необходимо поместить в папке c АВЗ и запускать именно батник, а не АВЗ?
2. При последующем запуске avz.exe логи будут сохраняться в AVZ/LOG или по тому пути что был указан командой?

1). Да, одну из этих команд пишете в батнике, кладете рядом с АВЗ и запускаете батник
2). При запуске avz.exe (именно авз.ехе, а не батника) и выборе там в Файл - Стандартные скрипты и т.д... того что нужно логирование будет туда - куда АВЗ логирует всегда. т.е в папку LOG

Спасибо, понятно. Я и имела ввиду, что одну из этих комманд, только не правильно выразилась.

[B]Oлег[/B], а почему ''родные дети''
[QUOTE]5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\[B]KASPER[/B]~1\KASPER~1.0\r3hook.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\[B]KASPER[/B]~1\KASPER~1.0\r3hook.dll>>> Поведенческий анализ
[/QUOTE]
вдруг [I]красные[/I]? :)

[quote=DimaT;306984][B]Oлег[/B], а почему ''родные дети''

вдруг [I]красные[/I]? :)[/quote]
Потому, что так и было задумано ... внедрение DLL имеет место ? Имеет, значит запись в логе с результатами наблюдения. Аналогичном с Punto и т.п., в логе же не сказано "злобный вирус"

[QUOTE=Зайцев Олег;307109]Потому, что так и было задумано ... внедрение DLL имеет место ? [/QUOTE]
Ты не понял намек о [I]поблажке [/I]''родным детям''... :P

Перед ним, все равны (с) :)

а зачем им нужна поблажка? они обидятся? (файлы эти)

Команда ClearQuarantine не очищает весь карантин, а только то, что попало в него в текущий день.
По-моему это не правильно.

[QUOTE=AndreyKa;307376]Команда ClearQuarantine не очищает весь карантин, а только то, что попало в него в текущий день.
По-моему это не правильно.[/QUOTE]

Согласен. Наверно, стоит сделать две команды, одна очищает весь карантин независимо от даты (чистит все подпапки), а другая чистит только карантин за текущий день. Некоторые пользователи иногда по ошибке присылают не нужный карантин, а старый - вот чтобы такого избежать, пригодилась бы команда полной очистки.

Здравствуйте. Сегодня лечил компьютер у друга, обнаружил интересный(ые) вирус(ы). К сожалению, снимков экрана сделать не смог, компьютер сильно глючил и времени было мало.

[U]Внешние проявления:[/U]
Antivirus 2008 + при открытии любого сайта появляется страница с примерно таким содержанием: "Microsoft проводит обязательное лицензирование браузера (прим., Internet Explorera, похоже). Отправьте платное смс на номер. ").
В общем, интернет недоступен.
Но не это главное.
[U]Самое интересное, это противодействие программе AVZ.[/U] AVZ запускается, пробовал обычную версию и pingpong.pif (та, что одним файлом). Можно включить AVZ Guard или установить драйвер расширенного мониторинга процессов. Но ключевые элементы интерфейса, а именно, кнопки "Пуск", "Пауза", "Стоп", опции поиска вирусов-галочки; кнопки и галочки в окне "Стандартные скрипты" всё не то чтобы недоступно, а хитным образом заблокированы. По ним нельзя щёлкнуть, нельзя перейти клавишей TAB, они не прорисовываются: если перед окном программы AVZ протащить другое окно, то на месте этих элементов интерфейса остаётся "мусор". Картинка, которую я сделал по памяти: [URL="http://img522.imageshack.us/my.php?image=01hk1.png"]ссылка[/URL] (нарисовал :>). При этом Total Commander и проводник работали без проблем.
После проверки AVZ+Cureit в безопасном режиме интерфейс AVZ восстановил свою работоспособность. Те файлы, что были найдены AVZ или Cureit я перед удалением запаковал в ZIP (могу прислать).
С вирусами вроде разобрался своими силами, поставил антивирус Касперского.

[B]Пожелания к программе AVZ.[/B]
Думаю, что надо как-нибудь защитить элементы интерфейса программы AVZ. А то получается, что программа запущена, но сделать при помощи неё ничего нельзя. :(
Запускал и так: [CODE]xvz.pif AG=Y[/CODE]