AVZ 4.30

Здравствуйте.
Скачал AVZ 4.30. При распаковке требует пароль архива для файлов вирусной базы.
Нигде не нашел упоминания об этом пароле (ни в прилагаемых файлах, ни на антивирусных форумах, ни общим поиском в тырнете).
Что делать?

Без указания пароля, понятно, базы не распаковывает, AVZ запускается, но без текстов (вместо всех надписей цифры), и не лечит, разумеется.

Извините, если вопрос глупый, и я просто что-то проглядел. В таком случае, думаю, нужно бы добавить в FAQ.

Заранее спасибо.

Откуда качали AVZ?

Да, качал с
[URL]http://www.z-oleg.com/secur/avz/download.php[/URL]

[quote=a111;317264]Да, качал с
[URL]http://www.z-oleg.com/secur/avz/download.php[/URL][/quote]
А распаковывается он чем ? Там обычный ZIP без всяких паролей ...

[quote=Зайцев Олег;317275]А распаковывается он чем ? Там обычный ZIP без всяких паролей ...[/quote]
Странно... Неужели происки вирей?
Распаковываю стандартным виндошным ZIP-архиватором.
Если открываю ZIP-файл, как папку, и копирую - молча копирует, но при этом BASE пустая. Если дабл-кликаю на avz.exe и говорю "Извлечь все", начинает распаковывать, но на первом файле из BASE просит пароль.
Только что попробовал распаковать WinRAR'ом . При распаковке, на все файлы из BASE ругается

! C:\Download\avz4.zip: Cannot create avz4\Base\backup.avz
Недостаточно квот для обработки команды.
! C:\Download\avz4.zip: Cannot create avz4\Base\bt.avz
Недостаточно квот для обработки команды.
....

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Нашел тред с похожей проблемой на вашем форуме.
[URL]http://forum.kaspersky.com/lofiversion/index.php/t71416.html[/URL]
Можно заюзать ссылку (AVZ-game) из нее?

[quote=a111;317386]
Можно заюзать ссылку (AVZ-game) из нее?[/quote]
Да, это похоже на заловреда. Применять AVZ по той ссылке не стоит, а стоит создать в разделе "Помогите" тему с описанием проблемы, хелперы дадут свежую гарантировано рабочую и актуальную ссылку + далее изучат положенные по правилам логи и помогут задушить зверя.

возможно ли в
"Поиск файлов на диске"

ввести параметр - искать по MD5 ?

Для чего это нужно:
допустим комп заражен чем то вроде RussoTuristo и нагадил во всех папках своими EXE файлами имеющими одинаковое содержимое. Для удаления сразу всех объектов можно было бы прописать маску, размер, MD5 файла и со спокойной совестью удалить все что найдется. В принципе, можно воспользоваться параметром "содержит текст", но характерные строки надо ещё искать...

Как вариант:
ввести механизм "пользовательская база" опасных объектов. Пусть она будет примитивна - будет только "маска, размер, MD5" - порой этого так не хватает...
Ведение базы можно сделать ручным - заполнение текстового файла, либо что нибудь автоматизированное, где достаточно указать на какой либо файл.

PS

беглым поиском не нашел чего то подобного. Либо не те ключевые слова искал...

[quote=Damien;317679]
беглым поиском не нашел чего то подобного. Либо не те ключевые слова искал...[/quote]
Подтверждаю - не те :) Это все давно и успешно реализовано - из скрипта есть доступ к сигнатурному движку AVZ
1. [URL]http://www.z-oleg.com/secur/avz_doc/scr_demo10.htm[/URL] - пример поиска файлов по именам на основе загружаемой базы
2. [URL]http://www.z-oleg.com/secur/avz_doc/script_fs_example.htm[/URL] - пример рекурсивного сканирования каталогов
3. [URL]http://www.z-oleg.com/secur/avz_doc/script_searchsignexample.htm[/URL] - пример сигнатруного сканера (обход папок и файлов, сигнатурный анализ файла)
4. [URL]http://www.z-oleg.com/secur/avz_doc/script_calkfilemd5.htm[/URL] - функция вычисления MD5 для файла. Остается дополнить ей пример п.п. 2 - и получим убивалку файлов. Соответственно для убиения файлов остается применить DeleteFile и ExecuteSysClean.
Если этого не достаточно, я могу написать примерчик из раздела "как написать антивирус на скрипт языке AVZ"

[quote]примерчик из раздела "как написать антивирус на скрипт языке AVZ" [/quote]в любом случае будет полезно,так что не откажите :)

[quote=drongo;317700]в любом случае будет полезно,так что не откажите :)[/quote]
Нет проблем: [URL]http://virusinfo.info/showthread.php?p=317723[/URL]

Проверял работу формы закачки подозрительных файлов, и заметил одну вещь. Много закачанных карантинов в которых одни инишники, и нет самих файлов. Я думаю стоит сделать в АВЗ проверку на успешность копирования файлов в карантин, и если файл не удалось скопировать, во первых писать это в лог, во вторых не создавать инишник. Таким образом будет понятно что происходит, и ЛК не будут получать много мусора на анализ.
Дополнительную проверку стоит сделать при создании архива. Не добавлять в карантин инишники для которых нет соответствующего файла.

[quote=Geser;318271]Проверял работу формы закачки подозрительных файлов, и заметил одну вещь. Много закачанных карантинов в которых одни инишники, и нет самих файлов. Я думаю стоит сделать в АВЗ проверку на успешность копирования файлов в карантин, и если файл не удалось скопировать, во первых писать это в лог, во вторых не создавать инишник. Таким образом будет понятно что происходит, и ЛК не будут получать много мусора на анализ.
Дополнительную проверку стоит сделать при создании архива. Не добавлять в карантин инишники для которых нет соответствующего файла.[/quote]
Так сделать можно, но я делал текущий вариант сознательно - INI файл говорит о том, что попытка карантина велась с указанием, откуда карантинили - это сигнал для аналитика о том, какие еще подозрительные файлы были на момент карантина, эта информация часто полезна

[QUOTE=Зайцев Олег;318281]INI файл говорит о том, что попытка карантина велась с указанием, откуда карантинили - это сигнал для аналитика о том, какие еще подозрительные файлы были на момент карантина, эта информация часто полезна[/QUOTE]
ИМХО лучше писать это в отдельный лог, и в правила добавить что после выполнения любого скрипта нужно загрузить (в теме на форуме) лог. А в лог стоит писать как сам скрипт, что бы было понятно что юзветь вообще выполнил, так и все диагностические сообщения. Намного проще и информативнее

[size="1"][color="#666686"][B][I]Добавлено через 45 секунд[/I][/B][/color][/size]

П.С. И создавать лог автоматом всегда при выполнении любого скрипта.

[quote=Geser;318290]
П.С. И создавать лог автоматом всегда при выполнении любого скрипта.[/quote]
И сохранять этот лог в карантине, чтобы приходил с ini файлами (подтверждаю - ini полезные даже без файла dta)

[quote=Geser;318271]Проверял работу формы закачки подозрительных файлов, и заметил одну вещь. Много закачанных карантинов в которых одни инишники, и нет самих файлов. [/quote]
а тут еще может присутствовать неотключеный АВ, который грохает карантин...

Вопрос возник:
Можно ли запустить avz из командной строки, чтоб она в незаметном для пользователя режиме собрала логи?

[QUOTE=dolph2005;318597]Вопрос возник:
Можно ли запустить avz из командной строки, чтоб она в незаметном для пользователя режиме собрала логи?[/QUOTE]

можно, в доке описано

Вопрос возможно, уже надоел, и всё-таки:
как скачать AVZ за 1 раз, чтобы его можно было сразу запустить в работу.
Три дня назад скачал с [url]http://z-oleg.com/secur/avz/download.php[/url] [ссылка "Скачать
(3.55 Мб)" в правом столбце].
Запустил, а оказалось, что нужно базы обновлять.
И с версиями какая-то непонятка. Мне нужно запустить AVZ на заражённом компьютере, который отключен от сети. Скопировал, запустил там - показывает версию 4.25. В свойствах файла 4.28. А ссылка вроде бы должна быть на 4.30.

базы можно отдельно скачать ( [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url] ) и распаковать в папку Base,
по md5 сверяй, так надёжней.прокси тоже может шалить и давать старую версию.

[QUOTE=drongo;318722]базы можно отдельно скачать ( [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url] ) и распаковать в папку Base,
по md5 сверяй, так надёжней.прокси тоже может шалить и давать старую версию.[/QUOTE]

Про версию в свойствах - это не прокси шалит, в версии 4.30 действительно в свойствах указана не совсем свежая версия :)

Подскажите, пожалуйста: как нужно работать с программой AVZ из под Live CD, так чтобы она корректно отрабатывало все свои возможности?
Спасибо.

[quote=Aleksandr49;319959]Подскажите, пожалуйста: как нужно работать с программой AVZ из под Live CD, так чтобы она корректно отрабатывало все свои возможности?
Спасибо.[/quote]
А что avz уже создали с Live CD? дайте пожалуйста ссылку...
ну а так я думаю просто скопировать с диска на винчестер папку avz с файлами, и запустить...

[quote=NikolayFirsov;320158]А что avz уже создали с Live CD? дайте пожалуйста ссылку...
ну а так я думаю просто скопировать с диска на винчестер папку avz с файлами, и запустить...[/quote]
Загляни [URL]http://www.kpnemo.ru/appz/2008/12/09/Live_CD_and_USB_dekabr_2008/#full[/URL]

Aleksandr49, а AVZ там корректно отрабатывает свои возможности? Что-то мне кажется, что нет. Или я что-то пропустил?

[quote=light59;320174]Aleksandr49, а AVZ там корректно отрабатывает свои возможности? Что-то мне кажется, что нет. Или я что-то пропустил?[/quote]
[COLOR=black][FONT=Verdana]Ты нечего не пропустил, я так думаю, что не может [/FONT][/COLOR][COLOR=black][FONT=Verdana]AVZ[/FONT][/COLOR][COLOR=black][FONT=Verdana], запущенная через [/FONT][/COLOR][COLOR=black][FONT=Verdana]Live[/FONT][/COLOR][COLOR=black][FONT=Verdana] [/FONT][/COLOR][COLOR=black][FONT=Verdana]CD[/FONT][/COLOR][COLOR=black][FONT=Verdana], отработать всех своих возможностей. Да и более того с[/FONT][/COLOR][COLOR=#333333]егодня столкнулся с такой ситуацией: [/COLOR][COLOR=#333333][FONT=Verdana]
[/FONT][/COLOR][COLOR=#333333]Win XP не грузится, доходит до определенного места и экран стает черным. [/COLOR][COLOR=#333333][FONT=Verdana]
Пробовал [/FONT][/COLOR][COLOR=#333333]Save mode тоже самое, загрузил Win PE mini запустить программу AVZ запустил сканирование диска С, но тут же всплывает окно с сообщением [/COLOR][COLOR=#333333][FONT=Verdana]
"[/FONT][/COLOR][COLOR=#333333]RichEdit Line insertion error" [/COLOR][COLOR=#333333][FONT=Verdana]
Попробовал запустить [/FONT][/COLOR][COLOR=#333333]AVZ Guard получил, "AVZ Guard erroe" код ошибки С0000034[/COLOR]
[COLOR=#333333]Поэтому я задал вопрос[FONT=Arial]:[/FONT] [/COLOR][COLOR=black][FONT=Verdana]как нужно работать с программой [/FONT][/COLOR][COLOR=black][FONT=Verdana]AVZ[/FONT][/COLOR][COLOR=black][FONT=Verdana] из под [/FONT][/COLOR][COLOR=black][FONT=Verdana]Live[/FONT][/COLOR][COLOR=black][FONT=Verdana] [/FONT][/COLOR][COLOR=black][FONT=Verdana]CD[/FONT][/COLOR][COLOR=black][FONT=Verdana], так чтобы она корректно отрабатывало все свои возможности?[/FONT][/COLOR][COLOR=black][FONT=Arial][/FONT][/COLOR]
[COLOR=black][FONT=Verdana]А в выше приведенном случае, я не мог провести простое сканирование дисков на наличие вредоносных программ и вирусов, проверяемого компьютера через [/FONT][/COLOR][COLOR=black][FONT=Verdana]Win[/FONT][/COLOR][COLOR=black][FONT=Verdana] [/FONT][/COLOR][COLOR=black][FONT=Verdana]PE[/FONT][/COLOR][COLOR=black][FONT=Verdana] [/FONT][/COLOR]

[QUOTE=Aleksandr49;320205]
Попробовал запустить AVZ Guard получил, "AVZ Guard erroe" код ошибки С0000034
[/QUOTE]

AVZGuard, AVZPM и антируткит недолжны (Это и понятно) работать.

Проверить точно не могу, но попробуйте отключить антируткит совсем в настройках перед проверкой с livecd.

Похоже, в AVZ для отображения результатов используется компонент RichEdit.
В используемой сборке PE очевидно нет необходимой библиотеки.
Я попробовал не другой сборке Live CD, все заработало, всем спасибо.

Олег, можно Вас поздравить! Кол-во сигнатур в АВЗ перевалило за 200 000 тыс. Продолжайте в том же духе и не сбавляйте оборотов :)

WinXP SP3
Поиск данных в реестре не находит [U]имена параметров[/U], хотя в "Параметры поиска" вытсавлено "Просматривать при поиске: имена разделов, параметров, значение параметров".. Возможно есть проблема и со "значениями параметров"..
Ситуация
[CODE]HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer[/CODE] есть параметр RestrictRun
Есть еще раздел
[CODE]HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\Explorer\RestrictRun[/CODE]
Результат поиска выдает только раздел, игнорируя параметр

Подскажите назначение папки Backup и файла с расширением .zbk, при сканировании небыло отмечено сохранения в карантин, и результатов в лог, в результате удалён системный файл, система не грузится, сижу чешу репу)

[quote=Rampant;321835]Подскажите назначение папки Backup и файла с расширением .zbk, при сканировании небыло отмечено сохранения в карантин, и результатов в лог, в результате удалён системный файл, система не грузится, сижу чешу репу)[/quote]
Папка Backup сожержит бекапы, и они бывают двух видов:
1. *.RED - обычные файлы REG, их можно импортировать редактором реестра. Создаются они в ходе работы восстановаления системы и некоторых видов лечения зверей
2. *.ZBK - бекап визардов. Позволяет откатывать изменения, сделанные визардами - для этого в окне визарадов есть закладка "Отмена изменений"

Проблему решил, в журнале событий определил удалённый файл - advapi32.dll, восстановил с другой системы, впредь буду внимательней.

Сегодня при попытке активировать АВЗгуард получил сообщение Ошибка AVZ Guard: C0000001. Установлен Kis 8.0.0.506, при отключение КИСы и попытке включения Гуарда реакция аналогичная. Не могу до конца удалить драйвер авзпм.

[quote=vistaorxpmoy;322208]Сегодня при попытке активировать АВЗгуард получил сообщение Ошибка AVZ Guard: C0000001. Установлен Kis 8.0.0.506, при отключение КИСы и попытке включения Гуарда реакция аналогичная. Не могу до конца удалить драйвер авзпм.[/quote]
Vista и обычный запуск AVZ надо полагать ? И не выйдет (запускать нужно по правой кнопке, выбирая запуск с правами админа)

Vista и обычный запуск AVZ -- Ошибка AVZ Guard: C0000061

[quote=vistaorxpmoy;322208] Не могу до конца удалить драйвер авзпм.[/quote]
Попробуй выполнить стандартный скрипт №6

При отключении "автоматического выбора действия" в кис и запуске переименнованого авз Кис выдаёт сообщение, примерно: "Неизвестное приложение пытыется установить драйвер и т.д..." "выбор действия : Разрешить" , запретить нету. Компутер подвисает. Может Кис виноват?

[quote=vistaorxpmoy;322492]При отключении "автоматического выбора действия" в кис и запуске переименнованого авз Кис выдаёт сообщение, примерно: "Неизвестное приложение пытыется установить драйвер и т.д..." "выбор действия : Разрешить" , запретить нету. Компутер подвисает. Может Кис виноват?[/quote]
Первое: KIS в данной ситуации прав. Он узнает "официальную сборку" и считает ее доверенной, всякие "полиморфные" сборки и переименованные версии делаются особым образом (AVZ пересобирается, при этом в него внедряются базы, и затем все это перепаковывается поверх). Такое безобразие KIS не знает и не должен знать как безопасное, отсюда и его реакция. Это первое.
Второе: запускать AVZ в Vista нужно только с правами админа

Похоже новый секюрити упдейт для виндовс мешает.
На тех машинах где виста без последнего обновления авзгуард работает.
[B]Второе: запускать AVZ в Vista нужно только с правами админа [/B] ... Знаю))
Про эти особенности киса итак понятно. Файл просто переименованный был, кис в нём авз признал

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Описание ошибок АВЗ существует? а то может я не нашёл просто??

В логах из помогите:
[QUOTE]C:\Program Files\Download Master\Plugins\IcqControl.dll >>>>> Backdoor.Win32.Delf.cdk успешно удален[/QUOTE]
Фолс?