Бета-тестирование антивируса "ВирусБлокАда" 2

[QUOTE=madison;396853]Почему при инсталяции АВАСТ воспринимает VBAgent.exe как вирус Win32:Rootkit-gen. Это нормально? Так же и при обновлении.[/QUOTE]
Учитывая "вердикт" [B]Avast![/B]'a можно сделать вывод о том, что в данном случае имеет место срабатывание эвристического анализатора [B]Avast![/B]'a. Эвристический анализатор, как модуль любого АВ-продукта, никогда не отличался низким уровнем ложных срабатываний, с чем Вы собственно и столкнулись.:)
Рекомендую Вам написать письмо в компанию [B]Alwil[/B] с пометкой "Ложное срабатывание".

[QUOTE=sergey ulasen;395259]После предыдущего апдейта беты стали поступать жалобы на то, что при старте антивируса происходит зависание системы на некоторое время. Скорее всего это связано каким-то образом с измененным алгоритмом проверки автозагрузки, который был выпущен в прошлый раз. Потому всем, кто столкнулся с данной проблемой, рекомендую отключить проверку автозапускаемых файлов в Диспетчере. Как только мы разберемся с данной проблемой, сразу вас уведомим.[/QUOTE]
Уважаймые бета-тестеры! Вышел фикс данной проблемы:
[QUOTE]
* Исправлены ошибки в механизме "лечения" реестра
[/QUOTE]
Просим Вас обновится до текущего состояния беты и проверить фикс.
Заранее благодарим :)

Сегодня ночью выходит апдейт, который включает в себя слудующие изменения:
[QUOTE]* Улучшена работа эмулятора ОС

* Улучшено детектирование вируса Virus.Win32.Sality

* Увеличена общая стабильность работы АВ-ядра[/QUOTE]

[QUOTE=Groft;401698]Сегодня ночью выходит апдейт, который включает в себя слудующие изменения:[/QUOTE]

Кроме того, была добавлена новая технология детектирования SScope. Пока она еще совсем свежая и там возможны ложняки. Если такие имеются, присылайте.
Данная технология является дальнейшим развитием технологии поведенческого детектирования вредоносных программ (BScope). Технология SScope позволяет создать образ вредоносного семейства и детектировать его экземпляры невзирая на различные упаковщики, которыми они обрабатываются.

Еще одна тема с VBA32 [url]http://virusinfo.info/showthread.php?t=46239[/url] правда пока без логов.

Тема [url]http://virusinfo.info/showthread.php?t=46358[/url] там Live CD не завелся. Гляньте.

[QUOTE=Aleksandra;406022]Тема [URL]http://virusinfo.info/showthread.php?t=46358[/URL] там Live CD не завелся. Гляньте.[/QUOTE]
Спасибо, Саша.:)
Было бы неплохо уточнить конфигурацию ПК.;)

[QUOTE=Rashevskiy;406092]Спасибо, Саша.:)[/QUOTE]
Привет, Ромка! :) Ты куда пропал!?

[QUOTE=Rashevskiy;406092]Было бы неплохо уточнить конфигурацию ПК.;)[/QUOTE]
Вопрос задан. ;) Если получу ответ, то здесь его продублирую.

[QUOTE=Aleksandra;407056]Привет, Ромка! :) Ты куда пропал!?
[/QUOTE]
Приветик.:)
Да у меня дел много... Просто вешаюсь...
Тебя что-то тоже в [B]ICQ[/B] не видно...

Что касается проблемы с [B]LiveCD[/B], то как один из возможных вариантов решения могу предложить повторное скачивание и запись образа на CD, т.к. при записи возможны ошибки, из-за которых, в свою очередь, и возникла проблема.:)

*** 25.05.2009

* Исправлены ошибки в механизме "лечения" реестра

Возьмите на контроль [url]http://virusinfo.info/showthread.php?t=46587[/url]

Спасибо/ :)

*** 02.06.2009

+ В настройки модуля "Расширение контекстного меню Проводника" добавлена возможность помещения в Карантин
инфицированных файлов

+ В модуль "Расширение контекстного меню Проводника" добавлена отправка уведомлений Центру Управления

*** 05.06.2009

* Улучшено детектирование вируса Virus.Win32.Virut

Сегодня в бете следующие изменения:

+ В Сканере и Диспетчере реализован новый алгоритм проверки автозапускаемых файлов. Опции "Проверять память"
и "Проверять файлы, запускаемые при старте системы" объединены. Теперь проверка памяти и проверка автозагрузки
осуществляются совместно в трех режимах: Быстрый, Полный, Избыточный

[QUOTE=Groft;414323]*** 05.06.2009

* Улучшено детектирование вируса Virus.Win32.Virut[/QUOTE]
Позитивчик/:)

Умение лечить, а не только тупо удалять всегда ценилось/ Молодцы!!!

Есть предложение встроить антируткит в комплекс VBA32. Как Вам такая идея?

[QUOTE=Aleksandra;415649]Есть предложение встроить антируткит в комплекс VBA32. Как Вам такая идея?[/QUOTE]

Отличная идея :)

Он там уже есть. Версии 3.12.2.1

Еще сделаем пару итераций в бете 3.12.3 и тоже обновим в комплексе.

[QUOTE=sergey ulasen;415689]Он там уже есть.[/QUOTE]
Не поняла. Где он там? Отдельно от комплекса?

[QUOTE=Aleksandra;415698]Не поняла. Где он там? Отдельно от комплекса?[/QUOTE]

В папке %Vba32% лежит. Из комплекса он пока не вызывается.

Я имела ввиду возможность вызывать его именно из комплекса. Т. е. где-то в GUI кнопка. Вызываем и делаем лог аналогичный команде:

[QUOTE]CollectState();[/QUOTE]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Поясню. Он не должен вызываться, а должен быть встроен.

[QUOTE=Aleksandra;415714]Поясню. Он не должен вызываться, а должен быть встроен.[/QUOTE]

Понял. В комплексе есть утилита SendLogs (Поддержка->Обратиться за поддержкой), которая собирает и отправляет в тех. поддержку логи. В будущем есть идея встроить такую возможность туда.

[QUOTE]* Улучшено детектирование вируса Virus.Win32.Virut[/QUOTE]

Только приходится долечивать DrWeb-ом. Прилагаю файл, как-бы вылеченный от virut.X5

[QUOTE=WindR;416624]Только приходится долечивать DrWeb-ом. Прилагаю файл, как-бы вылеченный от virut.X5[/QUOTE]
А пароль какой?:?
ps Для более детального разбора просим Вас заархивировать, поставить стандартный пароль вида "virus" и прислать нам на feedback:at:anti-virus.by. Заранее благодарим :)
ps2 Если не ошибаюсь, то приклеивать вирусы по правилам этого портала нельзя...

Пароль стандартный: VIRUS
Сегодня просканировал с обновленной базой, долечивание уже не потребовалось.
DrWeb увидел после только d:\WINDOWS\system32\3361\SVCHOST.EXE, который вообще не был замечен VBA32 с максимальной эвристикой.
[URL="http://www.virustotal.com/analisis/72acd0cb555e320cf0e16fda35dc46bc60ea849d780fd7d908238ec1eb264dec-1244989806"]Вот ответ с virustotal[/URL], если интересно.

[QUOTE=WindR;416624]Только приходится долечивать DrWeb-ом. Прилагаю файл, как-бы вылеченный от virut.X5[/QUOTE]

Файл действительно вылечен и опасности больше не представляет: заражать он больше не может и является работоспособным.
У разных вендоров разные методики детектирования и лечения файловых вирусов. И после лечения одним вендором может остаться детект у другого вендора. Такое бывает, тем более со сложнейшими EPO-вирусами.

P.S. Все спорные файлы лучше слать на feedback[at]anti-virus.by

*** 18.06.2009

+ Добавлена возможность восстановления файлов из карантина с помощью Центра Управления

* Улучшен драйвер монитора

*** 29.06.2009

* Исправлены ошибки в работе фоновой проверки памяти

*** 08.07.2009

* Улучшена работа эмулятора ОС

* Улучшен механизм "лечения" реестра

*** 13.07.2009

* Улучшена работа эмулятора процессора

*** 20.07.2009

* Исправлены ошибки в алгоритме обработки RAR-архивов

*** 12.08.2009

* Добавлено "лечение" новых веток автозагрузки

Переписка с разработчиками (казалось бы, завязвшаяся) прочему-то прервалась после моих вопросов о наличии в продукте проактиной защиты и самозащиты. Вопросы возникли после написания пары лик-тестов. Остался только один вопрос, куда закочать бету обратно. Впрочем, еще один - нафига такие программы? Последний вопрос не был бы задан(публично), если бы поступил ответ на предыдущие(лично).

[QUOTE]нафига такие программы?[/QUOTE]
Какие "такие"?

Проблема решена.

[QUOTE=senyak;448327]Какие "такие"?[/QUOTE]

Что касается "такие"... Имелось в виду без самозащиты. На мой [B]первый[/B] взгляд таковая отсутствует вовсе. В результате общения с разрабами выяснилось что [B]это не так[/B], что работы ведутся. Просто мне "повезло", и я сходу взялся за тот участок, который еще не готов.
Теперь готов я. В смысле принести извинения, если мое высказывание бросило тень на этот продукт. (Да не, я понимаю, что на мои высказывания тут чихать хотели... по крайней мере, это так выглядит ;) )

Разработчики открыты для общения и обсуждения, что радует. Респект, по крайней мере за это. :)

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

[QUOTE=Groft;447948]*** 12.08.2009

* Добавлено "лечение" новых веток автозагрузки[/QUOTE]

ссылки в подписи поменяйть бы. Хотя, ищущий да обрящет...

Скачал, запустил . Первые подробности - почтой :) Вы ее теперь регулярно читать будете?

[QUOTE]ссылки в подписи поменяйть бы. Хотя, ищущий да обрящет...[/QUOTE]
Не понял, можно поподробней?
[QUOTE]Вы ее теперь регулярно читать будете?
[/QUOTE]
почта всегда регулярно читается/отвечается, просто иногда в спам попадает/недоходит и т.д.
Спасибо за понимание :)

Пытался скачать антирутки по ссылке. DM ругается на отсутствие файла.
Ссылка указывает на [url]ftp://anti-virus.by/pub/beta/[/url]
Опера - нет такой папки либо доступ запрещен
IE - тоже
Выяснилось, что есть папка [url]ftp://anti-virus.by/beta[/url] - без подкаталогов, где и обнаружено искомое файло. Что я не так делал?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

И есть [url]ftp://anti-virus.by/pub[/url]
ЗЫ: Меня недавно знакомый дизайнер бетатестером обозвал :( Вечно нарываюсь на всякую невезуху. Слава богу, пока это касается только IT-сферы :)))

[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]

Вести с полей. Найден способ скрывать драйверы и сервисы. В списке Drivers and Services не отображается вовсе
Способ отличается от указанного в последних письмах :)

[size="1"][color="#666686"][B][I]Добавлено через 1 час 4 минуты[/I][/B][/color][/size]

И снова я с извинениями :(
То я пытался обойти проактивку и самозащиту, то вот пытался скрыть драйверы и сервисы. А выяснилось, что все гораздо печальнее.
Если нет параметра ImagePath, то соответствующей строки просто нет в списке сервисов и драйверов. Ну что за невезуха?! А так хотелось поумничать! :))
Хех...
Кстати, в процессе исследований обнаружил у себя ключик в Services. На попытку открыть выскочило сообщение об ошибе, сменить разрешение не удалось.
Теперь это все не воспроизводится, нет такого ключа. Первая буква в названии была "i", потом 5, кажется. Опять я на измене.
Помнится, 14 часов ловил у себя зверька (KIS ругался на драйвер AVZ, якобы это Agent). Оказалось - ложняк, который поправили при следующем обновлении баз... Тепрь вот думаю...

[QUOTE=antanta;451189]Пытался скачать антирутки по ссылке. DM ругается на отсутствие файла.
Ссылка указывает на [url]ftp://anti-virus.by/pub/beta/[/url]
Опера - нет такой папки либо доступ запрещен
IE - тоже
Выяснилось, что есть папка [url]ftp://anti-virus.by/beta[/url] - без подкаталогов, где и обнаружено искомое файло. Что я не так делал?[/QUOTE]
Странно, но у меня все работает. На всякий случай перебил пути. Просьба проверить у себя :)
[QUOTE]
...[/QUOTE]
На сколько я понел, то вы имете ввиду антируткит.
Мухи - отдельно, котлеты - отдельно (с) :>
Прошу все замечания и предложения по антируткиту писать в [URL="http://virusinfo.info/showthread.php?t=41137"]соответсвующей[/URL] ветке форума, а то Вы окончательно меня и других запутаете :)

Сегодня ночью выходит обновление антивирусного ядра. В данный апдейт вошли работы по оптимизации эмулятора. Благодаря этому прирост скорости сканирования PE-файлов доходит до 20%! Это очень здорово, на мой взгляд :)

[QUOTE=Groft;451314]Странно, но у меня все работает. На всякий случай перебил пути. Просьба проверить у себя :)

На сколько я понел, то вы имете ввиду антируткит.
Мухи - отдельно, котлеты - отдельно (с) :>
Прошу все замечания и предложения по антируткиту писать в [URL="http://virusinfo.info/showthread.php?t=41137"]соответсвующей[/URL] ветке форума, а то Вы окончательно меня и других запутаете :)[/QUOTE]

Нащёт обсуждения в другой ветке, согласен. Только скажите, в какой именно. Хотя, скорее окончательно уйду в потчту, а там по результатам.
Ссылка на антируткит станет рабочей, если я кликну ее из другой ветки? Я не сильно удивлюсь. "Вопросы крови — самые сложные вопросы в мире!" (тоже чей-то копирайт, какого-то провинциального автора, не заслуживающего упоминания). Вопросы адресации в глобальных сетях вообще, и резольвинга в частности - тож не подарок. Видел (и правил) такие чудеса расчудесные! :O
Касаемо данного случая: раньше был путь /pub/beta/... а теперь просто /beta/... Конечно же, оно теперь работает. Ладно бы Опера кешировала, дык я ж и ослом проверял, и другими путями на фтп лазил, чай не впервой. Я не тетушка Полли, а Вы не Том Сойер (хотя,аватар подходящий), и речь не о серебряных ложках. Хватит делать из меня дурака, и так плющит :O
Ну почему при любой тактичной попытке указать на маленькую оплошность на этом ресурсе всегда нарываешься на подколы и прочие мухо-котлеты? Неужели трудно сказать "Спасиба, братан, чо бы мы биз тибя делали?" (Тут мне скащуха нащет языка по правилам форума, я нииз России)
В общем, все в русле форума, все в стиле %GlobalModerName%. Если что-то не про дизайн и прочую ботву, то либо не видим, либо ни слова по делу.[B] Что с ключами в Services, если путь не указан? Тищина-а-а... Ляпота...[/B] На... (кой черт) тогда объявлять бетатестинг?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Нашел ветку с антируткитом... Еще немного, и уйдет на вторую страницу