[QUOTE=Зайцев Олег;96350]К концу месяца выходит новая версия AVZ, вот список доработок для обсуждения, не забыл ли я чего):
...
[/QUOTE]
15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".
Printable View
[QUOTE=Зайцев Олег;96350]К концу месяца выходит новая версия AVZ, вот список доработок для обсуждения, не забыл ли я чего):
...
[/QUOTE]
15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".
Олег! В качестве обсуждения. Нельзя ли поменять местами протоколы исследования системы и часть сканирования и лечения от AVZ.
Чтобы не начинать читать протокол с конца и не пытаться удалять то, что уже вылечил AVZ.
[QUOTE=aintrust;96363]15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".[/QUOTE]
Принято и сделано.
[B]to PavelA[/B]
Если процесс, DLL или что-то подобное видны в исследовании AVZ, то оно однозначно не удалено (как максимум - файл заряжен на отложенное удаление).
1. Не плохо добавить в скрипты функцию которая убивает процесс по имени, с выводом в лог результата. Т.е. попытка убиения, пауза в секунду, проверка что процесс убит.
2. Нужна функция которая ищет в реестре файл по имени (именно по имени, без пути) и выводит все ключи где найдена встречается этот файл.
P.S. Кстати, исправлена ли бага из за которой в списке драйверов и модулей пространства ядра вместо реального пути к системной директории написано "systemroot"?
[QUOTE=Geser;96368]1. Не плохо добавить в скрипты функцию которая убивает процесс по имени, с выводом в лог результата. Т.е. попытка убиения, пауза в секунду, проверка что процесс убит.
2. Нужна функция которая ищет в реестре файл по имени (именно по имени, без пути) и выводит все ключи где найдена встречается этот файл.
P.S. Кстати, исправлена ли бага из за которой в списке драйверов и модулей пространства ядра вместо реального пути к системной директории написано "systemroot"?[/QUOTE]
1,2 - принимается. PS - это не баг, это фича - имена объектов отображаются так, как они значатся в реестре или возвращаются системой. Если не удобно, заменю на нормализованные полные имена.
Как минимум в скрипт должны уходить нормализованные имена.
[QUOTE=pig;96385]Как минимум в скрипт должны уходить нормализованные имена.[/QUOTE]
Логично, так и сделаю.
[quote=Зайцев Олег;96347]1. В какой точно момент выводится данное сообщение (открытие Bat, прием почты, отправка почты, сохранение вложений) ? Повторяется ли данная ситуация ?[/quote]
[quote] 18.02.2007, 19:31:12: FETCH - Получение новой почты
18.02.2007, 19:31:12: FETCH - Соединение с POP3 сервером прошло удачно
18.02.2007, 19:31:12: FETCH - Аутентификация прошла успешно (Обычный метод)
18.02.2007, 19:31:13: FETCH - На сервере писем: 2, из них новых: 2
18.02.2007, 19:31:16: FETCH - Получено письмо от ([COLOR="Gray"]убрано[/COLOR]), размер: 2547 байт, тема: ([COLOR="Gray"]убрано[/COLOR])
18.02.2007, 19:31:16: ANTIVIRUS - Проверка входящего письма на наличие вирусов
!18.02.2007, 19:31:16: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
18.02.2007, 19:31:17: FETCH - Получено письмо от ([COLOR="Gray"]убрано[/COLOR]), размер: 12176 байт, тема: ([COLOR="Gray"]убрано[/COLOR])
18.02.2007, 19:31:21: FETCH - Получено письмо от ([COLOR="Gray"]убрано[/COLOR]) для ([COLOR="Gray"]убрано[/COLOR]), зашифрованное: Нет, размер: 2547, дата: 18 февраля 2007 г. 10:34:05, тема: ([COLOR="Gray"]убрано[/COLOR])
18.02.2007, 19:31:21: ANTIVIRUS - Проверка входящего письма на наличие вирусов
!18.02.2007, 19:31:21: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
18.02.2007, 19:31:22: FETCH - Получено письмо от ([COLOR="Gray"]убрано[/COLOR]) для ([COLOR="Gray"]убрано[/COLOR]), зашифрованное: Нет, размер: 12176, дата: 18 февраля 2007 г. 16:25:27, тема: ([COLOR="Gray"]убрано[/COLOR])
18.02.2007, 19:31:22: FETCH - Удалено писем с сервера: 2
18.02.2007, 19:31:22: FETCH - Соединение завершено - получено писем: 2[/quote]
Повторяется нерегулярно...
[quote=Зайцев Олег;96347]2. Точная версия TheBat![/quote] 3.95.06
[quote=Зайцев Олег;96347]3. Настройки AV проверки самого Bat (можно скриншот странички настроек)[/quote]Прилагается...
[quote=Зайцев Олег;96347]4. Какова настройка ящика в плане хранения вложений ? (в базе или отдельно)[/quote]Вложений в полученных файлах (см. лог выше) нет, но в настройках ящика указано - хранить отдельно.
Настройки самого плагина - "Вести лог" и "Папка Base в папке с плагином" (там он и живёт) :)
Олег, в протоколе исследования системы есть проблема при добавлении команд в скрипт относительно файлов, запуск которых указан с параметрами. Приведу пример из протокола исследования системы из одной из тем в разделе Помогите.
Автозапуск
Графа "Имя файла"
C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
"J:\муж\DAEMON Tools\daemon.exe" -lang 1033
Теперь при нажатии на "Карантин" или "Удалить" в скрипт добавляются команды, содержащие ошибку.
Т.е. при нажатии на "Карантин" в этом случае добавляется :
QuarantineFile('C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup','');
QuarantineFile('J:\муж\DAEMON Tools\daemon.exe -lang 1033','');
Я правильно понимаю, что в карантин они не попадут при выполнении скрипта ?
Видимо для исследования системы в графе "Имя файла" AVZ нужно заносить только путь к файлу, а параметры его запуска игнорировать.
[quote=Nick222;96419]Повторяется нерегулярно...
3.95.06
Вложений в полученных файлах (см. лог выше) нет, но в настройках ящика указано - хранить отдельно.
Настройки самого плагина - "Вести лог" и "Папка Base в папке с плагином" (там он и живёт) :)[/quote]
Спасибо, картинка помогла ... я выставил все переключатели согласно картинке и получил это сообщение. Если в настройке TheBat выставить три "птички" внизу окна натройки - появляется этот глюк, если их снять - работает нормально. Мой совет - отключить три "птички" в настройке Bat (т.е. привести настройки к виду, как на картинке из хелпа) - тогда глюк пропадает. А я тем временем разберусь, в чем там дело.
[quote=kps;96455]
Я правильно понимаю, что в карантин они не попадут при выполнении скрипта ?
Видимо для исследования системы в графе "Имя файла" AVZ нужно заносить только путь к файлу, а параметры его запуска игнорировать.[/quote]
Вероятность попадания в карантин есть - функция карантина пытается отбросить все лишнее. Но тут есть тонкость - предполагается, что добавление команд в скрипт добавляет заготовку, т.е. ее стоит вручную поправить, оставив только имя файла. Это существенно упростит работу AVZ. Плюс в новой версии новый анализатор в карантине - у него намного выше шансы на поиск файла в сложном случае.
У меня сегодня не удалось обновить AVZ, так как файл avzlang_en(или как то так) был битый, извиняюсь забыл сделать скриншот.
При повторной попытке обновиться, произошла такая ошибка:
[URL=http://imageshack.us][IMG]http://img216.imageshack.us/img216/4814/errorgc0.gif[/IMG][/URL]
Версия 4.23, обновлялся с z-oleg.com
P.S.: после закрытия программы и повторного запуска обновления АВЗ удалось :)
[QUOTE=Arkadiy;96550]У меня сегодня не удалось обновить AVZ, так как файл avzlang_en(или как то так) был битый, извиняюсь забыл сделать скриншот.
При повторной попытке обновиться, произошла такая ошибка:
[URL=http://imageshack.us][IMG]http://img216.imageshack.us/img216/4814/errorgc0.gif[/IMG][/URL]
Версия 4.23, обновлялся с z-oleg.com
P.S.: после закрытия программы и повторного запуска обновления АВЗ удалось :)[/QUOTE]
Скорее всего я в этот момент обновлял базы на сервере :)
Олег, поступила просьба от ЛК поменять пароль на файлах из карантина с virus на infected
[QUOTE=Geser;96574]Олег, поступила просьба от ЛК поменять пароль на файлах из карантина с virus на infected[/QUOTE]
А какая разница ? Ну, раз просят - поменяю, это тривиально
Пароль на какие файлы? Если на отсылаемые на проверку - то не стОит - у всех серверов требование ставить пароль "virus".
Если это другой пароль - прошу извинить :)
[B]Олег![/B] Что-то в Download на z-oleg.com AVZ лежит обрезанный без скриптовой директории и драйверов.
[QUOTE=PavelA;96587][B]Олег![/B] Что-то в Download на z-oleg.com AVZ лежит обрезанный без скриптовой директории и драйверов.[/QUOTE]
Все верно - драйвера давно в AV базе (о соответственно обновляются по мере надобности автоматом), все скрипты - аналогично.
[QUOTE=Зайцев Олег;96589]Все верно - драйвера давно в AV базе (о соответственно обновляются по мере надобности автоматом), все скрипты - аналогично.[/QUOTE]
А как же тогда с директорией [B]Script[/B]? Она же не создается.
Может я что-то не понимаю. Пытался по-старому объяснить своему клиенту, а тут такой облом (:
[QUOTE=PavelA;96591]А как же тогда с директорией [B]Script[/B]? Она же не создается.
Может я что-то не понимаю. Пытался по-старому объяснить своему клиенту, а тут такой облом (:[/QUOTE]
А собственно зачем директория Scripts ? Все скрипты из нее перекочевали в меню "Файл/Стандартные скрипты" AVZ.