Вышла новая версия антивирусной утилиты AVZ - 4.45

Зайцев Олег,
После последних обновлений Microsoft заметил такую ошибку Win 10 PRO x64 build 10586.104 при попытки выполнить 2-ой стандартный скрипт:
[QUOTE]Имя сбойного приложения: avz.exe, версия: 4.45.0.94, метка времени: 0x2a425e19
Имя сбойного модуля: unknown, версия: 0.0.0.0, метка времени: 0x00000000
Код исключения: 0xc0000005
Смещение ошибки: 0x0fbba2da
Идентификатор сбойного процесса: 0x1230
Время запуска сбойного приложения: 0x01d166b39cfd23de
Путь сбойного приложения: C:\avz4\avz.exe
Путь сбойного модуля: unknown
Идентификатор отчета: bbf774a3-828a-4a1a-85dd-1a0e487ab0e0
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом: [/QUOTE]

В безопасном режиме AVZ завершается сам по себе без ошибки.

1) [quote="SQ;1358258"]После последних обновлений Microsoft заметил такую ошибку Win 10[/quote]
похоже ошибка после обновления [url]https://support.microsoft.com/ru-ru/kb/3135173[/url]
Теперь даже стандартный скрипт№2 вылетает, так что собрать логи на windows 10 нельзя.

Вот три дампа с ошибками:
[url]http://rghost.ru/7hd6Bk7Zb[/url]
[url]http://rghost.ru/8QyWtTnXj[/url]
[url]http://rghost.ru/7kFZpklfr[/url]

2) Хотел загрузить дампы через форму на вашем сайте выдало ошибку из-за большого размера.[QUOTE]413 Request Entity Too Large[/QUOTE] Может поправите там лимиты?

3) Из справки по SpoolLog [QUOTE]Дублирование протокола в указанный текстовый файл.[/QUOTE]
на практике протокол работы AVZ не дублируется (подразумеваю протокол, который пишется в нижней части окна AVZ) в файл указанный в SpoolLog, правда в текстовую часть лога HTML записываются. Например при выполнение скрипта №2 на XP в этот отчёт записало только [QUOTE]Выполняется стандартный скрипт: 2. Скрипт сбора информации для раздела "Помогите" virusinfo.info[/QUOTE]. А как понимаю должно было полностью продублировать протокол работы AVZ.

4) Надеюсь, что если для исправления работы AVZ на 10-ке надо будет выпускать новую версию, то исправите и остальные баги/выполните пожелания написанные в этой теме.

Windows 10 Enterprise Insider Preview x64. Обновления последние.
Пробная версия. Build 14257.rs1_release.160131-1800.
Выполнились скрипты 2 и 3.
Логи нужны?
___________________________________________________
Windows 10 Pro Insider Preview x32. Обновления последние.
Пробная версия. Build 11099.rs1_release.160109-1156.
Выполнился скрипт 2.
На скрипте 3 перезагрузка.
Дамп:
[url]http://rghost.ru/8PKZP7D8z[/url]

Если нужны еще дампы падения AVZ, могу добавить несколько.

ещё дампы [url]http://my-files.ru/0hjqef[/url]

Дампы падения AVZ:
[url]https://dropmefiles.com/nPfsp/[/url]
[url]http://my-files.ru/Save/ffqqxu/Report.7z[/url]
[url]http://файлообменник.рф/1thvmt50af00/Report.7z.html[/url]
Все падения происходят на Windows 10х64.
+
Хотелось бы в новом релизе увидеть и решение по [URL="https://forum.kaspersky.com/index.php?showtopic=326375&pid=2544119"]этим проблемам[/URL].

Вышла новая версия AVZ

[SIZE=3]--- 29.02.2016 --- ver 4.46
[+/-] Доработки и модификации для совместимости с Windows 10[/SIZE]


Интересно, а что-нибудь из остального перечисленного в этой теме исправлено? Если да, то что именно.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

и на сайте [url]http://z-oleg.com/index.php[/url]
в правом верхнему углу до сих пор указана версия 4.43
[IMG]http://i76.fastpic.ru/big/2016/0229/d9/1938801c62d88d93dbb2471703d62cd9.png[/IMG]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Скорее всего и другие заметят в логе [QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/QUOTE]
CRC новой версии AVZ не успело попасть в базы и с обновлением баз это будет исправлено.

[b]Зайцев Олег[/b], спасибо за обновление v4.46!

1) Но опять "падает" уже в другом месте.
Проблема наблюдается на x64 Win 10 Pro Build 10.586, которая была установлена с дистрибутива 10.240, и на нее накатаны все обновления
Список обновлений в аттаче. Дамп падения: [url]http://dragokas.com/temp/avz.exe_160229_161625.zip[/url]
(если установить с дистрибутива сразу 10.586 и все обновления, то проблема не наблюдается).

2) А Вы не хотите собирать AVZ с отладочными символами?
И заодно продублировать контрольные точки в коде функцией OutputDebugString.
Я так сделал у себя в программе. Теперь, в отладчике сразу видно всю последовательность переходов между функциями внутренней реализации, и где "упало", и любая вспомогательная инфа, которую пожелаешь добавить к отладке.

[b]Зайцев Олег[/b], в этой теме [url]http://virusinfo.info/showthread.php?t=197643&p=1362437&viewfull=1#post1362437[/url]
AVZ на 10-ке падает при выполнение скрипта. Похоже из-за загрузки драйвера.
[QUOTE]Версия Windows: 10.0.10586, "Windows 10 Home", дата инсталляции 28.02.2016 17:20:27 ; AVZ работает с правами администратора (+)[/QUOTE]
Система x32, кстати напомню просьбу указывать разрядность в HTML логе рядом с версией ОС вместо даты инсталяции. Была бы намного удобней и полезней. Дата инсталяции нужна очень редко, если что можно и в XML посмотреть, а разрядность надо учитывать практически при написание каждого скрипта.

Дебаг лог тут [url]http://virusinfo.info/attachment.php?attachmentid=619128&d=1457010232[/url]
Обрывается на [QUOTE]Драйвер успешно загружен[/QUOTE]дальше идут символы 0x00

[b]Зайцев Олег[/b],
1) Опять "отвалилось автоматическое обновление баз", точней в архиве с кумулятивным обновлением базы [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
отсутствует большая часть файлов, в том числе файлы локализации. Да и сам архив весит меньше 100Kb хотя должен весить несколько Mb.

2) На Версия Windows: 10.0.10586, "Windows 10 Pro" x32 при выполнение такого скрипта
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RebootWindows(false);
end.[/CODE]

Вылетает BSOD. [URL="http://www27.zippyshare.com/v/gPVRFXEm/file.html"]Тут[/URL] дамп падения, [URL="http://www27.zippyshare.com/v/C2fwf7eW/file.html"]тут[/URL] дебаг лог работы скрипта. Может это связано с тем, что вы пытаетесь грузить неподписанный драйвер в ядро? На windows 10 насколько знаю ужесточили требования к драйверам.

3) [quote="regist;1357697"]AVZ не видит никакой анамалии в нестадартномном значение ключа и не выводит в лог.[/quote]
Новая версия AVZ также не видит вирусного VBS скрипта прописанного в Userinit

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

4) [quote="regist;1320806"]12) При удаление заданий через AVZ в реестре информация о них не чистится (поэтому на данный момент лучше чистить другими утилитами, либо потом их удалять).[/quote]
[URL="http://www29.zippyshare.com/v/vpOXPMMD/file.html"]тут в архиве[/URL] экспорт веток реестра с вирусными заданиями, которые нужны чистить при удаление заданий. Неплохо было бы если при удаление задания ExecuteSysClean чистила в этих двух ключах.
А также в разделе лечения мне встретилось несколько пользователей с 10-кой, который жаловались на запуск dota2game.org после перезагрузки компьютера. После удаление задания через AVZ (по сути просто удаления XML файлы из папки заданий) со слов пользователя проблема не ушла, хотя из лога AVZ задание пропало. А после того как почистил следы за заданием и в реестре проблема была решана.
Поясню, что запуск этого сайта происходит через запланированное задание через 15 минут после включения системы. Точней в планировщике был прописан сайт хttp://gamezonenews.net а уже он перенаправлял на dota2game.org

5) [url]http://virusinfo.info/virusdetector/report.php?md5=8AEC0445BC812FA5ACED74EBAE6351E3[/url]
Просьба выкинуть "Tencent" из базы чистых (например по цифровой подписи, хотя у него не всегда файлы подписаны). Причина, то что в половине тем в разделе Помогите просят помочь избаваться от без спросу установившегося этого "китайского вируса".

______________
Просил юзера пополнить базу безопасных, он прислал такую ссылку [url]http://virusinfo.info/virusdetector/report.php?md5=9EF3A62A3087D19F9CA31368979665E0[/url]
[QUOTE]Общее количество файлов: 0[/QUOTE]
как это возможно?

[QUOTE=regist;1363901][b]Зайцев Олег[/b],
1) Опять "отвалилось автоматическое обновление баз", точней в архиве с кумулятивным обновлением базы [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
отсутствует большая часть файлов, в том числе файлы локализации. Да и сам архив весит меньше 100Kb хотя должен весить несколько Mb.

2) На Версия Windows: 10.0.10586, "Windows 10 Pro" x32 при выполнение такого скрипта
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RebootWindows(false);
end.[/CODE]

Вылетает BSOD. [URL="http://www27.zippyshare.com/v/gPVRFXEm/file.html"]Тут[/URL] дамп падения, [URL="http://www27.zippyshare.com/v/C2fwf7eW/file.html"]тут[/URL] дебаг лог работы скрипта. Может это связано с тем, что вы пытаетесь грузить неподписанный драйвер в ядро? На windows 10 насколько знаю ужесточили требования к драйверам.

3)
Новая версия AVZ также не видит вирусного VBS скрипта прописанного в Userinit

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

4)
[URL="http://www29.zippyshare.com/v/vpOXPMMD/file.html"]тут в архиве[/URL] экспорт веток реестра с вирусными заданиями, которые нужны чистить при удаление заданий. Неплохо было бы если при удаление задания ExecuteSysClean чистила в этих двух ключах.
А также в разделе лечения мне встретилось несколько пользователей с 10-кой, который жаловались на запуск dota2game.org после перезагрузки компьютера. После удаление задания через AVZ (по сути просто удаления XML файлы из папки заданий) со слов пользователя проблема не ушла, хотя из лога AVZ задание пропало. А после того как почистил следы за заданием и в реестре проблема была решана.
Поясню, что запуск этого сайта происходит через запланированное задание через 15 минут после включения системы. Точней в планировщике был прописан сайт хttp://gamezonenews.net а уже он перенаправлял на dota2game.org

5) [url]http://virusinfo.info/virusdetector/report.php?md5=8AEC0445BC812FA5ACED74EBAE6351E3[/url]
Просьба выкинуть "Tencent" из базы чистых (например по цифровой подписи, хотя у него не всегда файлы подписаны). Причина, то что в половине тем в разделе Помогите просят помочь избаваться от без спросу установившегося этого "китайского вируса".

______________
Просил юзера пополнить базу безопасных, он прислал такую ссылку [url]http://virusinfo.info/virusdetector/report.php?md5=9EF3A62A3087D19F9CA31368979665E0[/url]

как это возможно?[/QUOTE]
1. Починил
2. В логе видно, что антируткит отработал, но видно несколько моментов, которые следует подрегулировать через базы
3. Да, там есть злобный глюк, проявляющийся именно та таком примере ключа. Он исправлен, но в 4.46 фикс не попал.
4. Такая чистка реестра появится в ближайшей версии
5. Выкинуть то его можно, но по сути своей это не вирус, рано или поздно опять пролезет

Здравствуйте, Олег. Еще можно как нибудь обновить английскую версию справки AVZ, а то некоторые хелперы с форума geekstogo просят обновить английскую справку по AVZ.

[quote="mike 1;1364032"]Еще можно как нибудь обновить английскую версию справки AVZ[/quote]
Да и русскую обновить надо. Например:
[url]http://virusinfo.info/showthread.php?t=189507&p=1355750&viewfull=1#post1355750[/url]
Опечатки/ошибки:
[url]http://virusinfo.info/showthread.php?t=189507&p=1320806&viewfull=1#post1320806[/url]
[url]http://virusinfo.info/showthread.php?t=155719&p=1119840&viewfull=1#post1119840[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="Зайцев Олег;1364007"]Он исправлен, но в 4.46 фикс не попал.[/quote][b]Зайцев Олег[/b], а можно узнать кроме работы фикса работы на win 10, чтобы было исправлено/добавлено в версии 4.46 ?
Например сейчас проверил [URL="http://virusinfo.info/showthread.php?t=189507&p=1340189&viewfull=1#post1340189"]бага при выставление языка для не юникодных программ украинского[/URL] исправлена (правда AVZ по прежнему по дефолту запускается на англ., а для большинства пользователей таких систем думаю русский привычней).
А
[quote="regist;1320806"]В MessageDLG название кнопки mbIgnore не помещается в русской локализации[/quote]по прежнему надпись не помешается.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="Зайцев Олег;1364007"]Выкинуть то его можно, но по сути своей это не вирус, рано или поздно опять пролезет[/quote]
Как понимаю в кибере вы можете и вручную указать степень доверия файла при этом этом, ваше мнение (степень доверия) приоритетней мнения кибера. То есть вы скажете, что этой подписи не надо доверять, то он и не будет. Или он потом может самостоятельно изменить мнения в обход вашего указания?

Уже в нескольких темах попадаются одинаково "битые" Html логи.
[IMG]http://i76.fastpic.ru/big/2016/0307/89/1cc66c5d4ae40663acc664fab0adc989.png[/IMG]
Вот пара примеров:
[url]http://virusinfo.info/attachment.php?attachmentid=619447&d=1457204667[/url]
[url]http://virusinfo.info/attachment.php?attachmentid=619607&d=1457303677[/url]
На всякий случай перезалил их на обменник (если вдруг юзер удалит из вложений).
[URL="http://www107.zippyshare.com/v/UxaDmi1C/file.html"]Раз[/URL] и [URL="http://www107.zippyshare.com/v/CbybeJSN/file.html"]два[/URL].
Может сможете через обновление баз это исправить?

Такие попадались и на версии 4.45

[QUOTE=regist;1364326]Уже в нескольких темах попадаются одинаково "битые" Html логи.
[IMG]http://i76.fastpic.ru/big/2016/0307/89/1cc66c5d4ae40663acc664fab0adc989.png[/IMG]
Вот пара примеров:
[url]http://virusinfo.info/attachment.php?attachmentid=619447&d=1457204667[/url]
[url]http://virusinfo.info/attachment.php?attachmentid=619607&d=1457303677[/url]
На всякий случай перезалил их на обменник (если вдруг юзер удалит из вложений).
[URL="http://www107.zippyshare.com/v/UxaDmi1C/file.html"]Раз[/URL] и [URL="http://www107.zippyshare.com/v/CbybeJSN/file.html"]два[/URL].
Может сможете через обновление баз это исправить?[/QUOTE]
Через обновление - нет, невозможно. Причина состоит в параметрах командной строки типа AutomaticTabDiscarding[B]<[/B]AutomaticTabDiscarding --disable-features=UpdateRendererPriorityOnStartup[B]<[/B]UpdateRendererPriorityOnStartup - они сбивают форматирование. Добавил экранирование таких спец. символов, что решит проблему

[b]Зайцев Олег[/b], AVZ теперь стал выводить в лог задания с powershell, но из-за очень длинной строки аргументов лог смотреть очень неудобно. В частности трудно посмотреть название задания или кликнуть чтобы его удалить. Вот [URL="http://www20.zippyshare.com/v/xOToekRV/file.html"]пример лога[/URL].
Может в случае таких длинных строк сделать прокрутку? Например [URL="http://www116.zippyshare.com/v/WL5wiNCT/file.html"]вот так[/URL].

Олег, кажется, об этом ранее уже писал. В логе в разделе [B]Подозрительные объекты[/B] есть запись:
[PHP]C:\Program Files (x86)\Justinmind\Justinmind Prototyper 7.1.0\plugins\org.eclipse.gef_3.8.0.201206112118.jar Вредоносный объект Trojan.BAT.DelAutoexec.e[/PHP]
И ниже:[QUOTE]3. Сканирование дисков
C:\Program Files (x86)\Justinmind\Justinmind Prototyper 7.1.0\plugins\org.eclipse.gef_3.8.0.201206112118.jar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e [/QUOTE]
Наверняка фолс, но проверить без карантина невозможно - в .xml не только MD5 нет, обьект этот вообще не упомянут.
Лог во вложении:
[ATTACH=CONFIG]620410[/ATTACH]

И, как я понимаю, сигнатурные проверки Non-PE файлов продолжаются?

[quote="regist;1364046"]Да и русскую обновить надо.[/quote]
Кроме перечисленного в том посте, в справке ещё надо обновить пункт №3 из [URL="http://virusinfo.info/showthread.php?t=189507&p=1342491&viewfull=1#post1342491"]этого поста[/URL]
[quote="regist;1342491"]AVZ, кажись уже несколько лет не удаляет папки при применение команды DeleteFileMask даже если они пустые. И вы давно тут в какой-то теме по обсуждению предыдущей версии ответили, что это не баг, а сделано осознанно. А тем не менее в справке до сих пор находится неверная информация[/quote]

_______________________
[quote="regist;1362449"]Интересно, а что-нибудь из остального перечисленного в этой теме исправлено? Если да, то что именно.[/quote]
Простестировал сам, результат ниже.

[url]http://virusinfo.info/showthread.php?t=189507&p=1320806&viewfull=1#post1320806[/url]
Актуальны почти всё пункты, но по некоторым поправки:
1) Восстановление системы на windows 7 теперь показывает правильно. Windows 8.1 - 10 показывает неправильно.
2) Так до сих пор и не удаляет.
3) Ошибка с PKZIP если файл не является архивом осталась. + Когда файл не найден вместо указанного в справке кода возврата [B]1[/B] вернуло [B]4294967295[/B].
4, 5) - актуально.
6) Исправлено.
7, 8, 9, 10, 11) - актуально.
12) - пока актуально, но [URL="http://virusinfo.info/showthread.php?t=189507&p=1364007&viewfull=1#post1364007"]тут[/URL] написали, что исправите в следующей версии (4-й пункт). И на всякий случай дополню, что для XP ключи в реестре будут другие.
13) Актуально.

_______________________
Это можно реализовать? [url]http://virusinfo.info/showthread.php?t=189507&p=1339091&viewfull=1#post1339091[/url]

_______________________
[url]http://virusinfo.info/showthread.php?t=189507&p=1340189&viewfull=1#post1340189[/url]
1) - осталась по старому (но это не баг).
2) - исправлено.
3) Пока не попадались такие логи.
4) [quote="Зайцев Олег;1341001"]вот за манипуляции с групповыми политиками и вызовы gpupdate - очень даже, добавил такую эвристику в базы.[/quote]
до сих пор с актуальными базами не подсвечивает.
5) Актуально. Как минимум на XP AVZ по прежнему вставляет в XML лог пустой параметр SHPath="".

_______________________
[url]http://virusinfo.info/showthread.php?t=189507&p=1345093&viewfull=1#post1345093[/url] - исправлено.
_______________________

[url]http://virusinfo.info/showthread.php?t=189507&p=1357697&viewfull=1#post1357697[/url]

1) В текущей версии актуально, но в следующей должно быть исправлено [quote="Зайцев Олег;1364007"] Да, там есть злобный глюк, проявляющийся именно та таком примере ключа. Он исправлен, но в 4.46 фикс не попал.[/quote]
2) Такие логи пока не попадались.
3) Актуально.

[B]Зайцев Олег[/B],
1) Хочу [URL='http://virusinfo.info/showthread.php?t=155719&page=8&highlight=Lastkey']еще раз[/URL] попросить на счет "Сервис -> Поиск в реестре -> [B]Открыть в Regedit[/B]" ускорить открытие ветки вместо клавиатурных имитаций, т.к. периодически пользуемся и не только я.
Regedit записывает последнюю открытую ветку в этом параметре:
[code]Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"="Компьютер\\HKEY_CURRENT_USER\\Software"
[/code]
Если открыть Regedit еще раз, ветка, прописанная в Lastkey, откроется сразу же. Нет необходимости имитировать переход с клавиатуры (он не всегда корректно отрабатывает, и приходится делать это еще раз).

Алгоритм такой:
1. Считываем параметр Lastkey. Забираем слово до первого \
Там может быть либо Computer\ либо Компьютер\ (зависит от локализации, но на нее лучше не ориентироваться)
2. Записываем в параметр Lastkey нужный ключ для прыжка (только ключ, без параметра!), добавив префикс из п.1.
3. Запускаем Regedit, имитируем с клавиатуры переход к нужному параметру в [U]уже открытом[/U] подразделе.

-----------------------------------
2) "Поиск в реестре" на Windows 7 x64 [B]зацикливается[/B] и бывает почти нереально дождаться когда завершается скан (на разных системах Win 7 по-разному).
Приложил пример лога.
Если я правильно воспроизвел ситуацию и у Вас такой же код, то проблема возникает из-за того, что функция RegQueryInfoKey возвращает неверное кол-во подразделов (больше, чем реальное), когда читает HKCR\Wow6432Node. Из-за этого RegEnumKeyEx заполняет только часть массива, и в нём остается много пустых имен ключей, что в итоге ссылается на этот же HKCR\Wow6432Node и сканирует его еще много раз.
[U]Решением будет[/U] - добавить флаг KEY_WOW64_64KEY при получении хендла в RegOpenKeyEx. Это позволит узнать реальное кол-во ключей.
Пока не готов объяснить, почему это влияет именно на данный ключ, но в любом случае отключение редиректора при поиске по реестру не помешает и в моем случае помогает.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

3) На счет "Ошибка получения информации о файле" в логе.

[ATTACH=CONFIG]621325[/ATTACH]

У меня такие мысли почему это происходит:
1) C:\Windows\System32\WUDFHost.exe - потому что проверяется без отключенного редиректора, а файла в SysWOW64 нет.
2) C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://virus.com/ - потому что проверяется не iexplore.exe, а вся строка,
ведь по аналогичному пути на примере хрома атрибуты нормально видит.
Думаю, несложно подправить.

4) Ярлык IE по логу выше ведет на неверную папку. Должна быть - "C:\Program Files". В ярлык в доп. секцию "вшита" переменная %ProgramFiles%, которая раскрывается под Wow64 и файловый редиректор на этот путь не влияет. Есть предложение проверять, если файла по пути "C:\Program Files (x86)" нет, то смотреть в соседнюю - "C:\Program Files". Если он там есть, то в лог выводить не "переадресованную" папку, а Program Files. Знаю, что Вы какую-то работу делали в этом направлении. Но я пробовал переименовать iexplore.exe внутри "C:\Program Files (x86)", но лог не изменился.