AVZ 4.30

IcqControl.dll- это не бекдор, это not-a-virus, Касперский его тоже так обзывал (год назад), потом переделали на not-a-virus:RemoteAdmin.Win32.IcqControl.*

[quote=Alex_Goodwin;323228]В логах из помогите:

Фолс?[/quote]
Нет, детект правильный. Эта DLL предназначена для скрытного управления по ICQ, и детект вполне оправдан. В базах ЛК она сейчас проходит как RemoteAdmin.Win32.IcqControl.a, я детекчу ее под старым именем (как она называлась на момент обнаружения и добавления в базу). Более подробно про эту DLL см. [URL]http://www.cwer.ru/icq_remote_control[/URL] - с моей точки зрения (как админа корп. сети) это зло - получаем по сути бот, которым можно удаленно управлять через ICQ

Олег, радмин тоже можно детектить как бекдор, но все же делают как not-a-virus тут мне кажется примерно тоже самое или нет? :)

[quote=Гриша;323251]Олег, радмин тоже можно детектить как бекдор, но все же делают как not-a-virus тут мне кажется примерно тоже самое или нет? :)[/quote]
RAdmin ботом не является, если мне память не изменяет (он пассивно слушает заданный порт и ожидает коннект). Этот же активно сам коннектится к серверу ICQ и что-то там шлет/принимает - в том то между ними и разница (именно поэтому его записали исходно в бекдуры)

Для домашнего пользователя из помогите есть разница not-a-virus или бэкдор. Если первое, то без спроса юзера удалять имхо не правильно.

[quote=Alex_Goodwin;323259]Для домашнего пользователя из помогите есть разница not-a-virus или бэкдор. Если первое, то без спроса юзера удалять имхо не правильно.[/quote]
В терминах AVZ нет такой категории - я могу его только в "RiskWare" записать (эта запись у меня в базе болтается с 05.11.2007 17:47:38).

Зайцев Олег, если можно, скажите что означает
"Ошибка AVZ Guard: C0000001."
Т.к. обычный запуск в Висте(standart user) выдаёт ошибку
"Ошибка AVZ Guard: C0000061"

[quote=vistaorxpmoy;323506]Зайцев Олег, если можно, скажите что означает
"Ошибка AVZ Guard: C0000001."
Т.к. обычный запуск в Висте(standart user) выдаёт ошибку
"Ошибка AVZ Guard: C0000061"[/quote]
А зачем в висте включать AVZGuard ?! Он активируется как правило скриптом, на короткий интервал времени между началом лечения и перезагрузкой. Работает он на x32 Vista, активироваться должен только из под админа.

[quote=Зайцев Олег;323516]А зачем в висте включать AVZGuard ?! Он активируется как правило скриптом, на короткий интервал времени между началом лечения и перезагрузкой. Работает он на x32 Vista, активироваться должен только из под админа.[/quote]
Ну, вопрос был другой. попробовал скриптом ( SetAVZGuardStatus(True);) тоже самое "Ошибка AVZ Guard: C0000001". Мне хочется знать это проблема совместимости Vista Business 32 + все обновы и авз, или что-то сидит у меня на компе(хотя врят ли). [B]На тех машинах где виста без последнего ежемес. обновления такой ошибки в логе не возникает,лог чистый.[/B]
Извиняюсь за надоедливость((:unsure:
читать SetAVZGuardStatus(True);

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

Забыл добавить avzpm monitoring driver (кажется так) т.е. сам файл, не удаляется ни скриптом ни строкой из меню. даже после перезагрузки. avz пишет что скрипт выполнен(в первом случае) и что драйвера успешно удалены(во втором)

Планируется ли обновить базы в сборке AVZ 4.30 на официальном сайте? Понятно, что по правилам использования положено обновляться вручную перед каждым забегом, но пользователи это часто игнорируют, мне кажется. А апрельские базы малоактуальны.

Простите, если вопрос уже задавался.

[quote=a1822;324815]Планируется ли обновить базы в сборке AVZ 4.30 на официальном сайте? Понятно, что по правилам использования положено обновляться вручную перед каждым забегом, но пользователи это часто игнорируют, мне кажется. А апрельские базы малоактуальны.

Простите, если вопрос уже задавался.[/quote]
Если версия 4.32 не выйдет до нового года (а я думаю именно так и будет), я обновлю сборку. Но без анонса - если я сообщу о появлении новой сборки, будет тут-же под миллион закачек и все поляжет как всегда ... (собственно поэтому я и стараюсь обновлять версии как можно реже)

[QUOTE=Зайцев Олег;324822]Если версия 4.32 не выйдет до нового года (а я думаю именно так и будет), я обновлю сборку. Но без анонса - если я сообщу о появлении новой сборки, будет тут-же под миллион закачек и все поляжет как всегда ... (собственно поэтому я и стараюсь обновлять версии как можно реже)[/QUOTE]
А почему не выложить сначала на файлообменные сервисы? Так можно и анонс сделать нормальный, и с сайтом всё будет ок, да и подзаработать баллов можно например на рапиде.

[quote=Geser;324839]А почему не выложить сначала на файлообменные сервисы? Так можно и анонс сделать нормальный, и с сайтом всё будет ок, да и подзаработать баллов можно например на рапиде.[/quote]
Я смеха ради так и сделал прошлый раз ... из миллионов загрузок всего 82 тыс. с rapidshare, т.е. порядка процента. Зачастую причина объективна - в многих конторах файлообменники банально запрещены правилами на прокси

[QUOTE=Зайцев Олег;324925]Я смеха ради так и сделал прошлый раз ... из миллионов загрузок всего 82 тыс. с rapidshare, т.е. порядка процента. Зачастую причина объективна - в многих конторах файлообменники банально запрещены правилами на прокси[/QUOTE]

Я думаю если новую версию выложить только на рапиду, скажм за месяц до того как она появится на сайте, то будет гораздо больше загрузок оттуда. А если они и там и там одновременно появляются, понятно что никто не захочет качать с Рапиды.

А как же сеть зеркал ЛК? Разве нет возможности его задействовать?

[quote=anton_dr;324929]А как же сеть зеркал ЛК? Разве нет возможности его задействовать?[/quote]
Сейчас они и задействованы, что отчасти решило проблему с перегрузкой сайта. Но апдейты то качаются с моего сайта и с VI, и после лавины загрузок пойдет лавина апдейтов.

Олег, а почему бы не поднять торрент на сервере и не публиковать именно такую ссылку как основную? Это реально поможет снизить траффик.

как я понял - главная проблема - именно волна обновлений, следующая за волной закачек - если уж волну закачек можно побороть путем постинга ссылок на зеркала (рапида и т.д.. или даже торрент), то как поступить с обновлениями - не ясно.

Что мешает сделать редирект запроса обновлений на сервера ЛК, или тупо прописать адрес обновления - сервер devbilds в качестве сервера по умолчанию.
Или ещё лучьше хоститься у ЛК?

[quote=Биомеханик;324996]Что мешает сделать редирект запроса обновлений на сервера ЛК, или тупо прописать адрес обновления - сервер devbilds в качестве сервера по умолчанию.
Или ещё лучьше хоститься у ЛК?[/quote]
Статичный файл туда поместить легко, а вот динамически обновляемые - сложнее. Тем более в сложных случаях при блокировке обновления с серверов ЛК зловредом есть шанс нормальной работы обновления AVZ.

А на VI выливать не сложно? Да и можно придумать механизм поочередного обхода серверов, 1. ЛК 2. VI 3. z-oleg

[quote=Биомеханик;325014]А на VI выливать не сложно? Да и можно придумать механизм поочередного обхода серверов, 1. ЛК 2. VI 3. z-oleg[/quote]
На мой сайт и на VI обновления попадают автоматичсеки, это делает робот, собирающий апдейт и размещающий его по FTP. У ЛК масса заркал, и там все несколько сложнее. Да и проблема не стоит того - актуальные базы конечно хороши, но для исследования ПК радикальной роли не играют ... а в полиморфоной сборке базы всегда актуальные

можно привязать download.z-oleg.com к айфолдеру - оттуда и пусть закачивают саму новую версию и с рапиды. а обновы только на ВИ выкладывать или на ЛК-ашные сервера - так вообще на z-oleg траффа не будет)))

Ну не так уж и много. На AVZ базы выходят раз в день. За час можно их раскидать. Ладно понял, но как тогда быть с трафиком от обновлений? Может на бесплатном хостинге их выкладывать?

Олег!
вот эта строчка неправильно отображается в логе AVZ:
[CODE]O20 - AppInit_DLLs: c:\progra~1\agnitum\outpost firewall pro\wl_hook.dll[/CODE]

[QUOTE]
c:\progra~1\agnitum\outpost
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
firewall.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
pro\wl_hook.dll
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs [/QUOTE]

Нельзя ли это поправить?

firewall.exe - вот этого вообще нигде нет на машине.

Пожелание для новой версии AVZ:
добавить в категорию Автозапуска плагины FireFox.
Похоже, появились такие зловреды, что выгружаются, внедрив свой код.
[url]http://virusinfo.info/showpost.php?p=326505&postcount=13[/url]

[quote=AndreyKa;326527]Пожелание для новой версии AVZ:
добавить в категорию Автозапуска плагины FireFox.
Похоже, появились такие зловреды, что выгружаются, внедрив свой код.
[URL]http://virusinfo.info/showpost.php?p=326505&postcount=13[/URL][/quote]
Да, расплодилось браузеров ... займусь на досуге, посмотрю, что и где он там хранит

[QUOTE=PavelA;326391]вот эта строчка неправильно отображается в логе AVZ:
[CODE]O20 - AppInit_DLLs: c:\progra~1\agnitum\outpost firewall pro\wl_hook.dll[/CODE][/QUOTE]
Да, поправьте. В логах очень часто такое вижу.

[quote=Зайцев Олег;326536]Да, расплодилось браузеров ... займусь на досуге, посмотрю, что и где он там хранит[/quote]
И заодно, если возможно, для браузера Opera - Сtrl+F12 - Содержимое - Настроить Javascript - Папка пользовательских файлов JavaScript - она бывает изменена, встречал случай с порноплагином, основной зловред был удален, но оставался feeder.js
Ещё вопрос, проверяются ли ветки реестра
[code]HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\[/code]И если нет, может стоит внести проверку на предмет подозрительных записей? И ещё, м.б. на уровне эвристики в логах выдавать уведомления по несоответствиях, в папке windows и подпапках, таких как например %systemroot%\svchost.exe (это уже я где-то в логах видел), %systemroot%\drivers, во временных папках, во всех профилях пользователей, например %userprofile%\Application Data, т.е. отображать не только то, что загружено в момент работы AVZ, но и организовать поиск по именам файлов (или по отпечаткам), заодно можно выводить отдельно список недавно созданных файлов (напр. за 30 дней), не прошедших по базе безопасных и файлов без цифровых подписей (такой вопрос уже когда-то поднимался).

[QUOTE]вот эта строчка неправильно отображается в логе AVZ:[/QUOTE]
встречал также случаи, когда некорректно отображались файлы из секции службы и автозапуска, цельные строчки (судя по HJT) в логах AVZ делились на несколько строчек, иногда встречалось в драйверах, например .sys, или msiexec без расширения, но это имхо мелкие баги )

[B]to Pili[/B]
1. Ключи:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\
не проверяются на предмет содержимого в явном виде, но они могут быть восстановлены по эталогу исходя из версии операционной системы одним из скриптво восстановления.
2. Контроль доверенных приложений из SharedAccess будет в новой версии
3. mountpoints2 сейчас не мониторится, но предполагается его чистка и анализ
4. Подозрительные файлы ищутся - есть набор характерных имен + поиск файлов в папках типа Fonts и т.п., где им не место. Это пока сделано как этам эвристической проверки системы

[quote=Зайцев Олег;326809][B]to Pili[/B]
не проверяются на предмет содержимого в явном виде, но они могут быть восстановлены по эталогу исходя из версии операционной системы одним из скриптво восстановления.[/quote]
По восстановлению это понятно, просто в ветках реестра
SafeBoot, иногда видны зловреды, которые не отображаются например в секции драйверов, то же самое с mountpoints2 и sharedaccess
примеры
[CODE][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mmctl.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VIDEO]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mmctl.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\VIDEO]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Windows Messenger\svchost.exe"="C:\Program Files\Windows Messenger\svchost.exe:*:Disabled:svchost"
"C:\Documents and Settings\user\Local Settings\Temp\4\svchost.exe"="C:\Documents and Settings\user\Local Settings\Temp\4\svchost.exe:*:Disabled:svchost"
"G:\\activexdebugger32.exe"="G:\\activexdebugger32.exe:*:Enabled:ipsec"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f0eb4a2-e20c-11db-b391-0016d4a3a091}]
shell\Auto\command - G:\activexdebugger32.exe f
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8712f221-d7b4-11db-b234-a125bca4d59a}]
shell\AutoRun\command - G:\autorun.exe[/CODE]

[quote=Geser;324927]Я думаю если новую версию выложить только на рапиду, скажм за месяц до того как она появится на сайте, то будет гораздо больше загрузок оттуда.[/quote]
Ребят, думайте и о нас, кто сидит за "серыми" ip-адрессами, в локальных сетях, скачать с рапиды практически невозможно, а таких очень много.

Мониторит ли AVZ эту ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems, ключ Windows ? Старая версия (4.24), вроде бы туда не заглядывала. Спрашиваю потому, что встречал злодея, который прописывал вместо basesrv свою dll. Это был очередной псевдоантивирус, попил мне крови.
И еще, загрузочный сектор проверяется?

[quote=antanta;327112]Мониторит ли AVZ эту ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems, ключ Windows ? Старая версия (4.24), вроде бы туда не заглядывала. Спрашиваю потому, что встречал злодея, который прописывал вместо basesrv свою dll. Это был очередной псевдоантивирус, попил мне крови.
И еще, загрузочный сектор проверяется?[/quote]
Мониторит и автоматом восстанавливает после лечения

Установил вот эту программу. Запустил АВЗ. Она ругается на килоггер и на какой-то порт. До установки Макафи Сайтадвайзера такого не было.

[URL]http://soft.softodrom.ru/ap/p3472.shtml[/URL]

Вопрос по этому логу из "Помогите".
1.4 Поиск маскировки процессов и драйверов
[QUOTE]>> Маскировка драйвера: Base=BAE49000, размер=102400, имя = "\systemroot\system32\drivers\senekahxji.sys"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
[/QUOTE]
Почему этот файл не за карантинился автоматически, и даже не попал в список подозрительных объектов.

[QUOTE=Sibir;327987]Она ругается на килоггер и на какой-то порт.[/QUOTE]
Логи в студию - будет конкретный ответ. Иначе - "либо встретите динозавра, либо нет".

Анинстолировал Макафи Сайтадвайзер - и АВЗ перестал ругаться :-)

Здравствуйте!С Новым годом! :huh: Утилита подозревает один системный файл в том,что он Trojan-GameThief.Win32.OnLineGames.tear.Касперский,Dr.Web и антивирусы на Virustotal ничего плохого в этом файле не видят.

Есть пожелания к новой версии
Можно строчки вида
[QUOTE]Функция NtDeleteKey (3F) перехвачена (80593334->AA420EC0), перехватчик C:\WINDOWS\System32\DRIVERS\cmdmon.sys, драйвер опознан как безопасный[/QUOTE]
в случаи опознания как безопасный не выделять красным цветом.