AVZ 4.30

[quote=nisome;307422]
[B]Пожелания к программе AVZ.[/B]
Думаю, что надо как-нибудь защитить элементы интерфейса программы AVZ. А то получается, что программа запущена, но сделать при помощи неё ничего нельзя. :(
Запускал и так: [code]xvz.pif AG=Y[/code][/quote]
Это давно придумано - см. параметры командной строки в хелпе ... в такой ситуации можно просто запустить AVZ под управлением скрипта, в режиме блокировки GUI. Это помогает от шаловливого юзера (чтобы кнопку "Стоп" не нажал) и от разной заразы, балующейся с GUI: avz.exe HiddenMode=2 Script=my_script.txt

Я догадывался, что есть такой параметр командной строки (просто пока времени не было почитать описание), спасибо за пример. А [B]AG=Y[/B] можно использовать? Не будет ли блокироваться система после завершения работы AVZ в скрытом режиме?

[quote=nisome;308111]Я догадывался, что есть такой параметр командной строки (просто пока времени не было почитать описание), спасибо за пример. А [B]AG=Y[/B] можно использовать? Не будет ли блокироваться система после завершения работы AVZ в скрытом режиме?[/quote]
Если AG=Y, и скрипт завершит работу AVZ - то блокировка сохранится до перезагрузки. Поэтому в идеале такой ключ лучше не указывать, а в скрипте прописывать заупск антируткита, потом AVZGuard, потом делаем что надо в плане лечения, взводим если надо BootCleaner и перезагрузка без отключения AVZGuard

Бага или фича ? AVZ говорит, файл не найден, в реестре запись есть, физически файл есть . Правда, в реестре путь \MICROS~3\, а по алфавиту Microsoft ActiveSync\ - первая, положив файл во все папки, начинающиеся с Microsoft видим ту же картину .
(длл-ка INetRepl.dll от Microsoft ActiveSync для синхронизации избранного)

[quote=aldares;308371]Бага или фича ? AVZ говорит, файл не найден, в реестре запись есть, физически файл есть . Правда, в реестре путь \MICROS~3\, а по алфавиту Microsoft ActiveSync\ - первая, положив файл во все папки, начинающиеся с Microsoft видим ту же картину .
(длл-ка INetRepl.dll от Microsoft ActiveSync для синхронизации избранного)[/quote]
AVZ ищет по CLSID исполняемый файл, а указанные пути записаны в полях для иконки (HotIcon и Icon), а они не обрабатываются в AVZ. Нужно найти CLSID этой штуки и посмотреть, что в нем прописано

CLSIDы, первый и второй.

Прошу извинить за, возможно, неуместный вопрос. Открытие менеджера внедренных DLL сопровождается каким-то пипиканьем (несколько первых секунд). При открытии других менеджеров никаких звуков не появляется. С чем это может быть связано? (Vista home basic, SP1, запуск из под пользовательской учетной записи).

[quote=mikh;308769]Прошу извинить за, возможно, неуместный вопрос. Открытие менеджера внедренных DLL сопровождается каким-то пипиканьем (несколько первых секунд). При открытии других менеджеров никаких звуков не появляется. С чем это может быть связано? (Vista home basic, SP1, запуск из под пользовательской учетной записи).[/quote]
Менеждер внедренных DLL музыкальный, это одна из его функций :) На самом деле все просто - нужно понять, что делает DLL с точки зрения реагирования на события (клавиатура, мышь, оконные событяи и т.п.). Это делает поведенческий анализатор - он берет на контроль поведение DLL и затем "дразнит" из разными событиями, параллельно записывая реакцию, потом все это классифицируется. Если весит какая-то переключалка раскладки клавиатуры или переводчик, то его перехватчик будет реагировать на такие события и может издавать непотребные звуки, если у него заложена такая функция (кто пищит, кто щелкает ... )

[quote=Зайцев Олег;308775]Менеждер внедренных DLL музыкальный, это одна из его функций :) На самом деле все просто - нужно понять, что делает DLL с точки зрения реагирования на события (клавиатура, мышь, оконные событяи и т.п.). Это делает поведенческий анализатор - он берет на контроль поведение DLL и затем "дразнит" из разными событиями, параллельно записывая реакцию, потом все это классифицируется. Если весит какая-то переключалка раскладки клавиатуры или переводчик, то его перехватчик будет реагировать на такие события и может издавать непотребные звуки, если у него заложена такая функция (кто пищит, кто щелкает ... )[/quote]

Вроде ничего из перечисленного (переключалки, переводчики) нет, но идея ясна. Спасибо.

Может быть раньше уже вопрос поднимался, но я ответа не нашел. Есть Vista, есть два профиля, в одном из которых (админ) тема Vista, а в другом (пользователь) - классическая. При запуске AVZ из пользовательской записи все нормально, а из админ. записи - сначала предлагается распаковать какие-то файлы, а при отказе это сделать AVZ запускается, но вместо меню появляются цифры со знаками вопроса. Запуск из пользовательской записи, но от имени администратора проходит нормально, меню в порядке. В чем тут может быть дело?

[quote=mikh;309520]Может быть раньше уже вопрос поднимался, но я ответа не нашел. Есть Vista, есть два профиля, в одном из которых (админ) тема Vista, а в другом (пользователь) - классическая. При запуске AVZ из пользовательской записи все нормально, а из админ. записи - сначала предлагается распаковать какие-то файлы, а при отказе это сделать AVZ запускается, но вместо меню появляются цифры со знаками вопроса. Запуск из пользовательской записи, но от имени администратора проходит нормально, меню в порядке. В чем тут может быть дело?[/quote]
AVZ из архива перед использованием распаковать не пробовали ?

[quote=Зайцев Олег;309522]AVZ из архива перед использованием распаковать не пробовали ?[/quote]

Пробовал, у меня даже получилось :) Я не из архива пытаюсь запустить. И под одной учетной записью все нормально, базы обновляются, меню в порядке, а под другой - меню в цифрах.

[quote=mikh;309532]Пробовал, у меня даже получилось :) Я не из архива пытаюсь запустить. И под одной учетной записью все нормально, базы обновляются, меню в порядке, а под другой - меню в цифрах.[/quote]
Я конечно не Станиславский, но скажу "Не верю" :)
Поехали по пунктам:
1. Распаковка
1.1 Чем распаковывался архив с AVZ ?
1.2 Куда он распакован (в профиль, в корень диска, какую-то папку) ?
1.3 Есть ли папка Base на одном уровне с avz.exe с базами *.avz внутри
2. Права
2.1 Какие права доступа стоят на файле AVZ.EXE
2.2 -/- папке Bаse ?
2.3 -/- файла *.avz папке Bаse ? Раз есть видимая проблема с языком, то можно посмотреть права на файлах lang_ru.avz и lang_en.avz
3. Запуск.
3.1 Из под админа AVZ запускает по правой кнопке мыши с выбором в меню, что его нужно запустить с правами администратора или как обычное приложение ?
Плюс нужно произвести опыт:
1. Распаковать AVZ встроенным архиватором в корень диска, в папку AVZ4
2. Дать на этут папку и все вложенные файлы права всем и на все операции
3. Пробовать запустить, причем из под админа через меню по правой кнопке

Меня интересует следующий вопрос. Планируется дальше развивать AVZ? Она очень давно не обновлялась. А по не которым отзывам умеет детективировать не все типы вирусов.

[quote=Pavia;309807]Меня интересует следующий вопрос. Планируется дальше развивать AVZ? Она очень давно не обновлялась. А по не которым отзывам умеет детективировать не все типы вирусов.[/quote]
Не обновлялась действительно долго - с 19:21 сегодняшнего дня :) Какой смысл обновлять программу, большая часть логики которой в обновляемых базах ? Если бы я писал AVZ сейчас, то он бы вообще пожизенно бы не обновлялся - 100% логики было бы в базе... Вирусы AVZ не детектирует вообще (детектируются только malware - трояны и т.п., для лечения вирусов AVPTool есть), да и то детект малварей не является приоритетным - в базы добавляются сигнатуры того, что часто встречаются - для упрощения чистки системы

[quote=Зайцев Олег;309537]Я конечно не Станиславский, но скажу "Не верю" :)
Поехали по пунктам:
1. Распаковка
1.1 Чем распаковывался архив с AVZ ?
1.2 Куда он распакован (в профиль, в корень диска, какую-то папку) ?
1.3 Есть ли папка Base на одном уровне с avz.exe с базами *.avz внутри
2. Права
2.1 Какие права доступа стоят на файле AVZ.EXE
2.2 -/- папке Bаse ?
2.3 -/- файла *.avz папке Bаse ? Раз есть видимая проблема с языком, то можно посмотреть права на файлах lang_ru.avz и lang_en.avz
3. Запуск.
3.1 Из под админа AVZ запускает по правой кнопке мыши с выбором в меню, что его нужно запустить с правами администратора или как обычное приложение ?
Плюс нужно произвести опыт:
1. Распаковать AVZ встроенным архиватором в корень диска, в папку AVZ4
2. Дать на этут папку и все вложенные файлы права всем и на все операции
3. Пробовать запустить, причем из под админа через меню по правой кнопке[/quote]

Вы оказались правы в своем недоверии :)
Я запустил AVZ из под админа с правами администратора и все стало нормально. Более того, теперь и без прав администратора из под админа запускается нормально. А из под пользователя проблем нет и не было.
Я теперь вообще не очень понимаю, что происходит :)
Если это не очень сложно, объясните, пожалуйста (или укажите ссылку,где доступно почитать про различия в учетных записях под Vista и почему программы так по-разному себя ведут).

[quote=mikh;310078]Вы оказались правы в своем недоверии :)
Я запустил AVZ из под админа с правами администратора и все стало нормально. Более того, теперь и без прав администратора из под админа запускается нормально. А из под пользователя проблем нет и не было.
Я теперь вообще не очень понимаю, что происходит :)
Если это не очень сложно, объясните, пожалуйста (или укажите ссылку,где доступно почитать про различия в учетных записях под Vista и почему программы так по-разному себя ведут).[/quote]
Где почитать - это сложно, в толстой солидной книжке про Vista это должно быть расписано (у меня просто нет под рукой подобной -поэтому конкретную посоветовать не могу). Но в общих чертах все просто:
1. Привилегии. Если система стоит на NTFS томе, и файл создается юзером X, то совершенно не факт, что на него будут права у юзера Y. Это несложно выяснить, посмотрев, какие привилегии стоят на файле или папке
2. Проблемы "псевдоадмина". Фокус в том, что в Vista админ несколько урезанный, и по умолчанию запускаемые приложения не имеют полных админских прав - для этого нужен тот самый запуск по правой кнопке мыши + подтверждение запроса UAC... Независимо от того, есть проблемы с языком или нет, AVZ нужно запускать именно из меню по правой кнопке - чтобы с гарантией дать ему полный доступ к системе

Спасибо за подробный ответ. Попробую найти, что почитать про Vista, в интернете. Но все-таки с языком было что-то непонятное :?

Здравствуйте. Может я и не по теме пишу, но помогите мне разобраться в таком вопросе: как запустить прогу на русском языке? Она у меня всё время запускается на английском. :dash1:

avz.exe lang=ru

:dance2: Спасибо! А чё то раньше не получалось.

Всё-таки очень хочется, чтобы AVZ выдавала как минимум предупреждение, если при проверке vbs-файла обнаруживала в нём команду Execute, а то наблюдается эволюция с шифрованием этих зловредов. Раньше они прятали деструктивные операторы просто в виде ascii-кодов символов, вчера я наткнулся на файл уже с попыткой шифрования. При переводе в удобочитаемый вид получилось:

ExeString="здесь был якобы мусор"
For i=1 To Len(ExeString)
TempNum = Asc(Mid(ExeString,i,1))
If TempNum = 28 Then
TempNum = 13
ElseIf TempNum = 29 Then
TempNum = 10
elseif TempNum=18 Then
TempNum = 34
elseif TempNum>96 and TempNum<110 then
TempNum=TempNum+13
elseif TempNum>109 and TempNum<123 then
TempNum=TempNum-13
elseif TempNum>47 and TempNum<53 then
TempNum=TempNum+5
elseif TempNum>52 and TempNum<58 then
TempNum=TempNum-5
End If
ThisText = ThisText & chr(TempNum)"
Next
Execute(ThisText)

Распространяется эта зараза на флэшках, насколько перспективно ловить через сигнатуры - не знаю :(
Расшифрованный код начинается так:
ver="3.0"
tile="daxian"&ver
about="daxianbiyeliunian 2007.7.10"
Мда, всё новое - хорошо забытое старое :(

Вопрос: как быть со зловредом TDSServ, идет почти эпидемия, AVZ его видит только в реж. с включенным AVZM (хоть в правила вписывай), причем только один модуль, удаление этого модуля скриптом проблему решает (обычно эта проблема с открытием поисковых сайтов и сайтов антивирусных компаний, проблема с блокировкой антивирусов), sdfix, combofix, MBAM с этим зловредом справляются (удаляют сервис и модули).
Добавлю, на зловредных файлах присутcвует подп. Microsoft Corporation (и в лога AVZ тоже, м.б. проблема в этом), у меня есть экземпляры TDSSrfdc.sys, TDSSedrm.dll (отправил вчера для добавления на z-oleg), по VT зловреда видят почти все антивирусы 27/36

Скачал AVZ за 21.11.2008.
При апдейте случилась сказка.
Пишет [B]Automatic Update error - Loaded file is damaged - main013.avz[/B] В чём проблема [IMG]http://src.ucoz.net/sm/2/uhm.gif[/IMG]И как мне теперь быть без апдейтов [IMG]http://smilies.sofrayt.com/%5E/aiw/sorry.gif[/IMG]

Всё разрешилась проблема.У меня по каким-то причинам в трее AVZ был.А когда новый пустил под апдейт он и ругнулся.С трея убрал - без проблем апдейт прошёл.

У меня на ВинХР почему-то не обновляется - пишет повреждён main057.avz.

[QUOTE=Nick222;313227]У меня на ВинХР почему-то не обновляется - пишет повреждён main057.avz.[/QUOTE]

С другого источника обновления все обновляеться. Проблема подтверждаеться.

[QUOTE=Nick222;313227]У меня на ВинХР почему-то не обновляется - пишет повреждён main057.avz.[/QUOTE]

попробуй обновить с другого источника. у меня так было.(zerocorporated обогнал с ответом)

[quote=zerocorporated;313238]С другого источника обновления все обновляеться. Проблема подтверждаеться.[/quote]
Это был злобный глюк :) Сейчас все исправлено

На системе с установленным Antivir AVZ всегда показывает подобное

[COLOR=red]Функция NtCreateThread (35) перехвачена (80586C45->F7F6D31C), перехватчик не определен[/COLOR]
[COLOR=red]Функция NtOpenProcess (7A) перехвачена (80581702->F7F6D308), перехватчик не определен[/COLOR]
[COLOR=red]Функция NtOpenThread (80) перехвачена (805E1939->F7F6D30D), перехватчик не определен[/COLOR]
[COLOR=red]Функция NtTerminateProcess (101) перехвачена (8058E695->F7F6D317), перехватчик не определен[/COLOR]
[COLOR=red]Функция NtWriteVirtualMemory (115) перехвачена (805885C4->F7F6D312), перехватчик не определен[/COLOR]

[COLOR=black]Но, в любом режиме, не показывает кому/чему принадлежат эти перехваты. Хотя они от антируткита Antivir'а. Было бы здорово, если бы в будущей версии AVZ корретно распознавались не только эти перехваты, но и драйвера, которым они принадлежат, с их указанием.[/COLOR]

Было бы не плохо ввести в АВЗ что-то типа набора "отпечатков пальцев" перехватов. Т.е. что бы по характерному набору перехватов АВЗ выдавал предположение о программе/зловреде которой/ому они принадлежат. Это могло бы сильно облегчить жизнь хелперам, и вообще уникальная фича :)

[quote=Geser;314209]Было бы не плохо ввести в АВЗ что-то типа набора "отпечатков пальцев" перехватов. Т.е. что бы по характерному набору перехватов АВЗ выдавал предположение о программе/зловреде которой/ому они принадлежат. Это могло бы сильно облегчить жизнь хелперам, и вообще уникальная фича :)[/quote]
Эта идея уже в работе :) Причем детект по характерному набору функций + по машинну коду перехватчиков.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=Dont.care.a.f!g;314180]На системе с установленным Antivir AVZ всегда показывает подобное

[COLOR=red]Функция NtCreateThread (35) перехвачена (80586C45->F7F6D31C), перехватчик не определен[/COLOR]
[COLOR=red]Функция NtOpenProcess (7A) перехвачена (80581702->F7F6D308), перехватчик не определен[/COLOR]
[COLOR=red]Функция NtOpenThread (80) перехвачена (805E1939->F7F6D30D), перехватчик не определен[/COLOR]
[COLOR=red]Функция NtTerminateProcess (101) перехвачена (8058E695->F7F6D317), перехватчик не определен[/COLOR]
[COLOR=red]Функция NtWriteVirtualMemory (115) перехвачена (805885C4->F7F6D312), перехватчик не определен[/COLOR]

[COLOR=black]Но, в любом режиме, не показывает кому/чему принадлежат эти перехваты. Хотя они от антируткита Antivir'а. Было бы здорово, если бы в будущей версии AVZ корретно распознавались не только эти перехваты, но и драйвера, которым они принадлежат, с их указанием.[/COLOR][/quote]
Драйвера и опознаются ... но ничто не мешает выделить в памяти ядра кусок, поместить туда код перехватчиков, после чего выгрузить сотворивший это драйвер. В результате мы имеет в памяти кусок кода, но ассоциировать его с конкретным драйвером не можем. Другой пример - если драйвер маскируется, то получим аналогичную картину

В справке по AVZGuard написано следующее: [QUOTE]Особенностью блокировки операций с реестром является то, что операция блокируется, но приложение получает статус успешного выполнения и считает, что реестр был изменен. Это сделано специально для совместимости с рядом программ, которые в случае ошибки записи в реестр начинают работать неадекватно.[/QUOTE]
Правильно ли я понимаю, что таким образом (т.е. используя AVZGuard) можно пробовать новые программы, не беспокоясь за те изменения, которые те могут внести в систему? Т.е. что-то вроде Sandboxie?

[quote=mikh;315400]В справке по AVZGuard написано следующее:
Правильно ли я понимаю, что таким образом (т.е. используя AVZGuard) можно пробовать новые программы, не беспокоясь за те изменения, которые те могут внести в систему? Т.е. что-то вроде Sandboxie?[/quote]
не правильно, AVZGuard только для лечения, когда всё лишнее выгружено.

[quote=drongo;315405]не правильно, AVZGuard только для лечения, когда всё лишнее выгружено.[/quote]

Но ведь в той же справке написано, что [quote]На самом деле экспериментально установлено, что большинство приложений сохраняют свою функциональность, так как не совершают блокируемых системой действий. В частности, Internet Explorer, Outlook Express, TheBat продолжают нормально работать в качестве недоверенных приложений[/quote];

[quote=mikh;315413]Но ведь в той же справке написано, что ;[/quote]

не оптимизировано для этого,Олег не пошёл в направлении постройки полноценного Sandbox.
как сказал maxmo, и я с этим согласен: микроскопом тоже можно гвоздь забить :P

Микроскоп может сломаться. А что можно повредить в данном случае? Систему вряд ли. Самое неприятное - если устанавливаемая программа откажется запускаться. Или есть еще какие-то минусы?

[quote=mikh]Самое неприятное - если устанавливаемая программа откажется запускаться. [/quote]
Запускаться будет нечему :)

spoq.sys проблемы с этим файлом появились сразу после обновления, последнее было 27 августа 2008. определяет как Пepexвaтчик KerneIMode Пoдoзpeниe нa RootKit, без пути к файлу тока имя?!, и все время находит C:\Program Files\Agnitum\Outpost FirewalI\kerneI\Sandbox.SYS и C:\Program Files\Agnitum\Outpost FirewalI\kerneI\FILTNT.SYS, как добавить в исключения?

Никак, это нормально... spoq.sys -драйвер эмулятора дисков, его положено руткитом обзывать, так было и раньше, драйвера аутпоста тоже обязаны так определяться...

Олег, команда ExecuteSysClean не очищает задания планировщика задач Task Scheduler?
[url]http://virusinfo.info/showpost.php?p=300091&postcount=2[/url]