Олег, а почему исчезли в логах автоматические линки на образованиe скрипта для исправления обнаруженных дырок? Очень удобно, верни пожалуйста.
Printable View
Олег, а почему исчезли в логах автоматические линки на образованиe скрипта для исправления обнаруженных дырок? Очень удобно, верни пожалуйста.
[quote=drongo;328882]Олег, а почему исчезли в логах автоматические линки на образованиe скрипта для исправления обнаруженных дырок? Очень удобно, верни пожалуйста.[/quote]
Я не трогал ... следовательно исчезнуть они не должны были. Но я так далеко их запрятал специально - обнаруженное то далеко не всегда "дырка" ... (например в ЛВС удаленный реестр может быть нормой, тогда как дома он даже даром не нужен)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=kras07;328868]Здравствуйте!С Новым годом! :huh: Утилита подозревает один системный файл в том,что он Trojan-GameThief.Win32.OnLineGames.tear.Касперский,Dr.Web и антивирусы на Virustotal ничего плохого в этом файле не видят.[/quote]
Это не системный компонент, а какой-то хитрый драйвер сетевой карты - я внес его в базу безопасных, подозрения с него снимутся после очередного апдейта.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote=Биомеханик;328872]Есть пожелания к новой версии
Можно строчки вида ... в случаи опознания как безопасный не выделять красным цветом.[/quote]
А если перехват каскадный (например, перехват руткита, а поверх - перехват антивируса) ? Поэтому красный цвет в данном случае дается за сам факт вмешательства в систему
Олег,не только про удалённый реестр ,но и всё остальное тоже. Не удобно так. Специалист должен решать отключить или нет.А чтобы отключить, на линки понажимал и готов индивидуальный скрипт. A так не понятно куда жать, если линков нет.В ручную не интересно, и нудно.
Более того, если отключено, должен быть линк для "включения".
[QUOTE=drongo;328899]Олег,не только про удалённый реестр ,но и всё остальное тоже. Не удобно так. Специалист должен решать отключить или нет.А чтобы отключить, на линки понажимал и готов индивидуальный скрипт. A так не понятно куда жать, если линков нет.В ручную не интересно, и нудно.[/QUOTE]
+1
[QUOTE=drongo;328899]Более того, если отключено, должен быть линк для "включения".[/QUOTE]
+10
Просьба вернуть все как было!
Проверь, если не трогал.
Вот тема [url]http://virusinfo.info/showpost.php?p=328849&postcount=11[/url] и линков нет для закрытия.
[quote=drongo;328905]Проверь, если не трогал.
Вот тема [URL]http://virusinfo.info/showpost.php?p=328849&postcount=11[/URL] и линков нет для закрытия.[/quote]
Линков для закрытия чего там нет ? Там не видно детектов IPU, только сообщения визардов. Из меню "Файл/Мастер поиска и устранения проблем" можно увидеть этот список, и пофиксить что надо ... равно как откатить изменения. Командой скрипта это сделать невозможно, так как многие позичии визардов являются небольшой программкой поиска и восстановдления проблемы. Можно активировать визард автоматом - команда ExecuteWizard
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=drongo;328899]Специалист должен решать отключить или нет.[/quote]
Интересно как - телепатически ?! Откуда специалисту удаленно это известно (это может и сам пользователь не знать). Для фикса опасных проблем есть ExecuteWizard с кодом 3, см. хелп. Все остально отдано на откуп юзеру - хочет-фиксит, не хочет - не фиксит, не нарвится результат фикса - откатывает.
[url]http://virusinfo.info/showthread.php?t=36611[/url]
[QUOTE]1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=AAB27000, размер=172032, имя = "\systemroot\system32\drivers\msqpdxhrhcjalr.sys"
[/QUOTE]
В списке "Подозрительные объекты" нет ссылки. Я понимаю что строчка красным подсвечена, но может стоит дополнительно её продублировать?
В качестве лёгкой релаксации.
Лазил по просторм И-нета и наткнулся вот на такой пост:
[quote]Есть такая Великая и Ужасная утилита AVZ. В использовании похожа на лазерный скальпель. Можно одним движением рак удалить, но можно с разгона и яйца отрезать. Десять минут работы. После ее выхода я не понимаю фразы - давайте отформатируем винт.[/quote]
[url]http://talks.guns.ru/forummessage/84/402778.html[/url]
Пустячок, а приятно было прочитать. :-)
Ок, Зайцев Олег- с юзерами убедил. =) Мне удобней когда в логах есть это всё без всяких исключений ( я буду решать, что мне нужно отключить, а что включить), да и не только мне.Синауридзе Александр аж два разa спасибо сказал :)
Hе надо в визард лезть, когда и так уже логи делаешь.
Предлагаю компромисс:
*когда опция в системе отключена, то в логах будет линк для активирования
*когда опция в системе включена, то в логах будет линк для отключения.
*Всё это будет работать когда avz будешь запускать сo специальным ключом.
Кому надо- запустит сo специальным ключом, а так -пусть с визардом играются.
Здрасте! Люди добрые помогите!!! У меня АВЗ выдает чтоперехвачены процессы. Диски читает любые но как только вставляю системный, чтобы переустановить винду, то все
Обновляю AVZ регулярно. Но сегодня при обновлении программа скачала 1,7 мб. Откуда такой объем обновлений?
База "чистых" файлов обновилась :)
[quote=mikh;329387]Обновляю AVZ регулярно. Но сегодня при обновлении программа скачала 1,7 мб. Откуда такой объем обновлений?[/quote]
Конец года - плановый отлов фолсов, прошло достаточно радикальное пополнение и исправление баз, пополнение базы безопасных и т.п.. Сегодня прошло это обновление баз было выложено на сайт, вот поэтому объем обновлений скачкообразно и вырос. Это понятное дело однократное событие - далее обновления снова станут небольшими, как обычно - 10-80 кб за день
А когда выйдет новая версия AVZ и что в ней будет нового известно?
Нет ли такого механизма что бы обновлять версия путём обновления баз?
[quote=Биомеханик;329435]А когда выйдет новая версия AVZ и что в ней будет нового известно?
Нет ли такого механизма что бы обновлять версия путём обновления баз?[/quote]
Нет, сам EXE не обновляется автоапдейтом (иначе он завалит заркала апдейта, да и обновление EXE должен идти по желанию пользователя). Новая версия тестируется - там будет значительно расширен менеджер автозапуска, расширен функционал антируткита и прочих лечилок, расширен скрипт язык, XML логи переработаны и расширены - заточены под новую систему их анализа и т.п.
Новая система анализа для вычищенныя следов?
Ещё вопрос. При отправки вирусов через сайт z-oleg.com анализатор будет распаковывать архивы ZIP без расширения?
А если в архиве есть вложенный архив?
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 39 минут[/I][/B][/color][/size]
Ошибка в локализации, не хватает пробела.
[QUOTE]D:\Virus\Virus.Win32.Alcaul.l - PE файл с нестандартным расширением;PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 40%)[/QUOTE]
[size="1"][color="#666686"][B][I]Добавлено через 1 час 11 минут[/I][/B][/color][/size]
Ещё можно добавить в просмотр карантина и заражённых файлов кнопку удаления дубликатов.
Предлагаю нынешние 2 скрипра сбора информации заменить одним который автоматически:
0. Очистит карантин.
1. Выполнит сканирование.
2. Пропишет АВЗ в автозагрузку.
3. Включит AVZPM
4. Перегрузит компьютер
5. Выполнит после рестарта повторное сканирование.
6. Выключит АВЗПМ
7. Создаст архив с логами двух сканирований, а так же дополнительным файлом в котором будет разница между двумя логами (что бы было понятно что удалилось, а так же удобно ловить зверье которое переименовывает свои файлы при каждом рестарте).
8. Заархивируст карантин.
9. Выдаст сообщение с указанием пути к архиву с логами и архиву с карантином, а так же инструкцию по загрузке их на форум.
[QUOTE=Зайцев Олег;329440]Новая версия тестируется - там будет значительно расширен менеджер автозапуска, расширен функционал антируткита и прочих лечилок, расширен скрипт язык, XML логи переработаны и расширены - заточены под новую систему их анализа и т.п.[/QUOTE]
Интересен был бы автономный режим работы АВЗ со сторонними xml-логами, возможно через запуск командной строки avz.exe file.xml... с возможностью просмотра процессов, служб и драйверов и др...., интерактивного_полуавтоматического создания скрипта лечения, с функциональностью автоматического сравнения логов, например, с эталонной машиной или с с предыдущими xml-логами по данной машине.
Немного изменённый вариант:
1. Включит AVZPM
2. Прописать АВЗ в автозагрузку.
3. Очистит карантин.
4. Перегрузит компьютер
5. Выполнит сканирование.
6. Перегрузит компьютер
7. Перегрузит компьютер
8. Выполнит после рестарта повторное сканирование.
9. Удалит AVZ из автозагрузки
10. Создаст архив с логами двух сканирований, архив с карантином, а так же дополнительным файлом в котором будет разница между двумя логами (что бы было понятно что удалилось, а так же удобно ловить зверье которое переименовывает свои файлы при каждом рестарте).
11. Откроет папку с архивом и логами, а так же инструкцию по загрузке их на форум. В окне будет кнопка для открытия браузера на странице создания новой темы в разделе "Помогите".
Только скрипт №3 не удаляйте, оставите его для таких как я, кто ходит по квартирам и офисам и ремонтирует компы.
[quote=Geser;329685]Предлагаю нынешние 2 скрипра сбора информации заменить одним который автоматически:
0. Очистит карантин.
1. Выполнит сканирование.
2. Пропишет АВЗ в автозагрузку.
3. Включит AVZPM
4. Перегрузит компьютер
5. Выполнит после рестарта повторное сканирование.
6. Выключит АВЗПМ
7. Создаст архив с логами двух сканирований, а так же дополнительным файлом в котором будет разница между двумя логами (что бы было понятно что удалилось, а так же удобно ловить зверье которое переименовывает свои файлы при каждом рестарте).
8. Заархивируст карантин.
9. Выдаст сообщение с указанием пути к архиву с логами и архиву с карантином, а так же инструкцию по загрузке их на форум.[/quote]
Если внедрять такое, то шанс что глюкнет по середине повыситься и как результат никаких логов не будет.
Как минимум, следует добавить текстовый лог -анализ выполнения каждой операции, чтобы знать на каком месте глюкануло.
Tакже, оставить в avz опции теперешних, чтобы по одному выполнить в случае проблем.
[B]DelBHO[/B] не отработала должным образом [url]http://virusinfo.info/showthread.php?t=37342[/url]
Вроде бы отработала она своё. Или я не туда смотрю?:)
Здравствуйте!
Заметил такую проблему. После проверки и лечения и перезагрузки компьютера Windows XP SP2/3 находит неизвестное устройство, и пытается ставить для него драйвер. Драйвер не находит и в системе остается висеть неизвестное устройство. Случай не единичный, от сборки XP не зависит.
Это побочный эффект работы AVZGuard, можете безболезненно удалить это устройство...
После перезагрузки устройство будет найдено снова. Надо как-то избавляться от этого побочного эффекта. Возможно это драйвер расширенного мониторинга процессов оставляет какую-то бяку?
AVZ - меню - Файл - Стандартные скрипты - Удаление всех драйверов и ключей реестра AVZ.
Не знаю поднимался ли такой вопрос... Возможно ли на сайте z-oleg.com разместить альтернативную ссылку для скачивания утилиты avz с минимумом баз (или к примеру только файл avz.exe и поддержкой языков) . Иногда приходится пользоваться только функцией "Восстановление системы", а пользователю сидящему на Dialupe не в радость выкачивать 3,5 Мб вместо возможных 800кб.
Олег подскажите, можно ли текстовый лог из HJT проверить в AVZ? Может это конечно глупый вопрос, но я только учусь. :smile:
[quote=LEON®;339378]можно ли текстовый лог из HJT проверить в AVZ? Может это конечно глупый вопрос, но я только учусь. :smile:[/quote]
неа, но рассмешил :lol:
Лог Хиджака можно проверить в анализаторе для Хиджака, но "студентам" это лучше делать самостоятельно. ;)
[B]Олег[/B], странности в теме [url]http://virusinfo.info/showthread.php?t=38260[/url]
AVZ не видел автозапуск через HKCU другого пользователя (HijackThis тоже не видел), хотя запускался с правами администратора.
Проблемный файл c:\documents and settings\manager3\manager3.exe загружен.
[quote=AndreyKa;339947][B]Олег[/B], странности в теме [URL]http://virusinfo.info/showthread.php?t=38260[/URL]
AVZ не видел автозапуск через HKCU другого пользователя (HijackThis тоже не видел), хотя запускался с правами администратора.
Проблемный файл c:\documents and settings\manager3\manager3.exe загружен.[/quote]
А он и не должен видеть такие записи - иначе в логе будет туча мусора, особенно на ПК с многопользовательским входом
Принципиально не согласен.
Получается для каждого пользователя (учетной записи) компьютера надо делать отдельный лог AVZ?
кстати а почему BC_ImportALL нету в логе??
а только BC_ImportDeletedList
а ручками лень? :)
[quote=Hanson;339964]кстати а почему BC_ImportALL нету в логе??
а только BC_ImportDeletedList[/quote]
Специально такого нет ... так как карантин BC дублирует обычный карантин, и если "в лоб" применять BC_ImportALL , то получим карантин удвоенного размера
[quote=AndreyKa;339954]Принципиально не согласен.
Получается для каждого пользователя (учетной записи) компьютера надо делать отдельный лог AVZ?[/quote]
я про это тоже где-то уже говорил.. не удобно очень...
[QUOTE]А он и не должен видеть такие записи - иначе в логе будет туча мусора, особенно на ПК с многопользовательским входом[/QUOTE]
так как раз когда на машине несколько юзеров и оно ко всем прописалось - это ж под каждым надо зайти и подчистить..
Насчёт чужих профилей присоединюсь к просящим: оно же фактически в активном автозапуске, логично было бы его видеть. HJT видит, кстати.
И ещё несколько идей, не знаю, насколько они ценные.
1. Краткие сведения о системе (версия, редакция, уровень SP, язык, 32/64, каталог установки, статус UAC, консольный/терминальный доступ) и об AVZ (версия программы и баз) выводить в самом начале лога, [b]перед[/b] списками процессов etc. Чтобы, разглядывая списки, уже понимать, что в них должно быть и чего не должно.
2. Выводить запрос UAC, если AVZ запущен под Вистой без прав администратора. В разделе "Помогите", мне кажется, слишком много логов без этой опции, хелперы постоянно просят переделать.
3. Возможно, имеет смысл приделать определение наличия/отсутствия определённых апдейтов в системе (из нынешних "горячих" навскидку - MS08-067, MS09-001).
4. Может быть, имеет смысл (и технически возможно) сделать какую-то эвристику, определяющую наличие в системе файлового вируса. Например, отсутствие подписи на файлах, которые в норме должны быть подписаны, или неправильная подпись. Повреждение файла самой AVZ тоже можно сюда включить.
[quote=a1822;340167]Насчёт чужих профилей присоединюсь к просящим: оно же фактически в активном автозапуске, логично было бы его видеть. HJT видит, кстати.
И ещё несколько идей, не знаю, насколько они ценные.
1. Краткие сведения о системе (версия, редакция, уровень SP, язык, 32/64, каталог установки, статус UAC, консольный/терминальный доступ) и об AVZ (версия программы и баз) выводить в самом начале лога, [B]перед[/B] списками процессов etc. Чтобы, разглядывая списки, уже понимать, что в них должно быть и чего не должно.
2. Выводить запрос UAC, если AVZ запущен под Вистой без прав администратора. В разделе "Помогите", мне кажется, слишком много логов без этой опции, хелперы постоянно просят переделать.
3. Возможно, имеет смысл приделать определение наличия/отсутствия определённых апдейтов в системе (из нынешних "горячих" навскидку - MS08-067, MS09-001).
4. Может быть, имеет смысл (и технически возможно) сделать какую-то эвристику, определяющую наличие в системе файлового вируса. Например, отсутствие подписи на файлах, которые в норме должны быть подписаны, или неправильная подпись. Повреждение файла самой AVZ тоже можно сюда включить.[/quote]
1. Так оно там же и выводится - сообщение "[SIZE=2]Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: Отключено" после данных о базе, перед началом проверки процессов[/SIZE]
[SIZE=2]2. В принципе такое можно прикрутить[/SIZE]
[SIZE=2]3. Такое чисто технически возможно ... можно ловить отсутствие SP3, равно как проверять наличие/остуствие критических заплаток. Вопрос о полезности этой информации для юзера в принципе открыт (если человек ставит апдейты, то у него все будет в порядке, если не ставит - то скорее всего и не будет их ставить)[/SIZE]
[SIZE=2]4. Это давно сделано. avz.exe проходит самоконтроль при запуске, и если контроль неуспешен, то в логе делается отметка о том, что это опасно и файл возможно заражен или порежден. Проверять системные файлы таким образом очень чревато - дело в том, что существует туча сборок Windows "от Пети", "От Васи" и т.п, в которых нередко не совсем корректно заменяются системные файлы, в результате чего они не опознаются как безопасные. И это минимальное зло - у моего знакомого на такую "крутую сборку, все на ней сидят" например WEB 5.0 отказался ставиться, стали разбираться почему - а оказалось, там примерно 30% системных ключей в реестре просто нет (!!), они так сказать почищены за ненадобностью ... что творится в папке System32 и службах - вообще страшно посмотреть.[/SIZE]
[quote=Зайцев Олег;340189]1. Так оно там же и выводится - сообщение "[SIZE=2]Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: Отключено" после данных о базе, перед началом проверки процессов[/SIZE]
[SIZE=2]2. В принципе такое можно прикрутить[/SIZE]
[SIZE=2]3. Такое чисто технически возможно ... можно ловить отсутствие SP3, равно как проверять наличие/остуствие критических заплаток. Вопрос о полезности этой информации для юзера в принципе открыт (если человек ставит апдейты, то у него все будет в порядке, если не ставит - то скорее всего и не будет их ставить)[/SIZE]
[SIZE=2]4. Это давно сделано. avz.exe проходит самоконтроль при запуске, и если контроль неуспешен, то в логе делается отметка о том, что это опасно и файл возможно заражен или порежден. Проверять системные файлы таким образом очень чревато - дело в том, что существует туча сборок Windows "от Пети", "От Васи" и т.п, в которых нередко не совсем корректно заменяются системные файлы, в результате чего они не опознаются как безопасные. И это минимальное зло - у моего знакомого на такую "крутую сборку, все на ней сидят" например WEB 5.0 отказался ставиться, стали разбираться почему - а оказалось, там примерно 30% системных ключей в реестре просто нет (!!), они так сказать почищены за ненадобностью ... что творится в папке System32 и службах - вообще страшно посмотреть.[/SIZE][/quote] 1. Я имел в виду логи, формируемые 2 и 3 стандартными скриптами. Там с самого верха идут списки процессов, модулей и т. д., и только потом тот лог, который в окошке рисуется. Я хотел спросить, нельзя ли сведения о системе продублировать (для хелперов) перед этими списками, чтобы не метаться по логу туда-сюда.
3. Я опять в пользу хелперов спрашиваю. Пользователю-то понятно, что не нужно это, а на чужую машину сядешь - и начинается гадание...
4. Ясно, вопрос снимается.