Антивирусная утилита AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner

[QUOTE=Зайцев Олег;89515]А что тут можно сказать - только klif.sys значится в базе безопасных 43 раза, диапазон версий от 6.12 до 6.12.10.247. Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.[/QUOTE]
Наверняка большинство этих [I]klif[/I]-ов - от различных бета-версий продукта, т.е. по сути бесполезный хлам. Был бы реальный смысл оставить только то, что являлось компонентом [U]официальных релизов[/U] [I]KAV6/KIS6[/I], благо их было не так уж много, думаю не более 5-ти или 6-ти, включая MP1.

[QUOTE=aintrust;89558]Наверняка большинство этих [I]klif[/I]-ов - от различных бета-версий продукта, т.е. по сути бесполезный хлам. Был бы реальный смысл оставить только то, что являлось компонентом [U]официальных релизов[/U] [I]KAV6/KIS6[/I], благо их было не так уж много, думаю не более 5-ти или 6-ти, включая MP1.[/QUOTE]
Так я практически только из официальных и беру - то, что найдено на реальных ПК, на оф. версиях. Тем не менее разновидностей много ... но 43 штуки - это за три года ведения базы. Распространенных - штук 5/7.

Нужно добавить в лог ссылки для
1. Установка бут драйвета
2. Удаление файла через бут драйвер.
Нужно отмечать в логе файлы не найденные на диске. При чем всегда сначала пробовать считать файл через прямое чтение.
Очень нужно согранять лог с результатами выполнения скрипта.

Да, еще не плохо бы помещать копии всех файлоф удаляемых бут драйвером в карантин, для последующего исследования.

[url]http://virusinfo.info/showthread.php?t=7332[/url]
Лог BootCleaner пустой. Стрим не удаляется никаким образом...

ХМ.. почему-то опять нелечиться ошибки протоколов(tcp, lsp) [url]http://forum.kaspersky.com/index.php?showtopic=26230&view=findpost&p=252541[/url]
или я что-то недоганяю?

[QUOTE=Geser;89578][url]http://virusinfo.info/showthread.php?t=7332[/url]
Лог BootCleaner пустой. Стрим не удаляется никаким образом...[/QUOTE]

Не удаляется потому что скрипт написан не правильно...;)

2 Олег: обе версии, и русская, и английская. На примере русской - архив распакован в %Program Files%\AVZ. После скрипта папка LOG появляется, но в ней пусто. :?

[QUOTE=Geser;89578][url]http://virusinfo.info/showthread.php?t=7332[/url]
Лог BootCleaner пустой. Стрим не удаляется никаким образом...[/QUOTE]
В скрипте ошибка ... - нужно сначала настроить BC, а потом активировать. В скрипте - наоборот - т.е. он активируется без настроек, поэтому и логи пустые. Т.е. для той темы правильно:
[CODE]
begin
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

[QUOTE=NickGolovko;89602]2 Олег: обе версии, и русская, и английская. На примере русской - архив распакован в %Program Files%\AVZ. После скрипта папка LOG появляется, но в ней пусто. :?[/QUOTE]
Странно - я запустил у себя AVZ из PF - отработало все нормально. Я предлагаю три опыта:
1. Выполнить скрипт и посмотреть, что вернет GetAVZDirectory
[code]
begin
AddToLog(GetAVZDirectory);
end.
[/code]
2. Скопировать папку AVZ4 в корень диска и повторить запуск скрипта сбора информации, и посмотреть, сохранить он лог или нет
3. Запустить AVZ из PF, а параллельно FileMon - и посмотреть, фильтр по имени файла "virusinfo" - пытается сохраняет ли он создать файл

[QUOTE=Ego1st;89588]ХМ.. почему-то опять нелечиться ошибки протоколов(tcp, lsp) [url]http://forum.kaspersky.com/index.php?showtopic=26230&view=findpost&p=252541[/url]
или я что-то недоганяю?[/QUOTE]
Похоже, у человека rsvp32_2.dll восстанавливается. Поэтому AVZ и не видит ошибков в LSP ... AVZ увидит ошибку, если удалить файл и после перезагрузки его не будет. Тормоза после очередного удаления говорят именно о успешном удалении ... но AVZ поможет, если нужно почистить запись от левого LSP провайдера, но не поможет, если левый провайдер заменил собой нормального

rsvp32_2.dll во вторых логах его уже нету.. непонятно отсутствие интернета тогда..

Только что имел похожую проблему с rsvp32_2.dll
(тот, вирус, что из аськи кидал ссылку на зараженный сайт [url]www.counter-pr.info)[/url].
Для чистки использовал AVZ.
Менеджер Winsock на второй вкладке увидел нестандартные строки (около 5), подкрасил красным, и на вкладке "Поиск ошибок" все удалилось нормально.
Однако, строчка MSADF Tcpip TCP/IP при новом сканировании отсутствует. (на рабочем компе рядом- она есть)
Меня выручила программа [url]ftp://ftp.widomaker.com/pub/winsock/utils/[/url][B]WinsockxpFix[/B].[B]exe[/B]
Она восстановила необходимую строчку. Сеть пришлось настроить заново.
Интернет появился. Happy END.
_________________
Возможно, раз такое случается, подобную опцию восстановления настроек в AVZ можно подправить?

Зачем AVZ убивает перехваты касперского (и ругается на них)?
Вот, вы были не довольны, когда некоторые антивирусы детектировали эвр. анализатором AVZ как возможного зловреда. Но, то что AVZ вмешивается в работу касперского, думаю, тоже создателей AVP немного заставляет быть не довольными.

И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.

Так её попросили найти и снять все перехваты - она это и делает, о чём отчитывается. Всё по-честному.

[quote=Alex5;89672]Зачем AVZ убивает перехваты касперского (и ругается на них)?
...
И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.[/quote]

С Outpost -аналогичная проблема.
Но, как я понял, файл заносится в "безопасные" не по названию, а по названию и сигнатуре. И подверсий у Касперского и Outpost-а довольно много. Надо присылать файлы- добавят.
_________________
У меня другой вопрос, может стоит для подобных случаев создать
"Игнор-лист",
куда пользователь заносил бы доверенные приложения самостоятельно. Тогда бы подобные вопросы не возникали.
Туда можно занести кроме Каспера и Outpost драйвера Daemon Tools, оболочку RunPad Shell и прочие.
Вот тогда можно было бы чистить почти "не глядя".

2 Олег: снял хуки - создалось. Опять, похоже, надо переустанавливать Tiny - конфиг глючит. Perdoname за беспокойство. :)

[QUOTE=Alex5;89672]Зачем AVZ убивает перехваты касперского (и ругается на них)?
Вот, вы были не довольны, когда некоторые антивирусы детектировали эвр. анализатором AVZ как возможного зловреда. Но, то что AVZ вмешивается в работу касперского, думаю, тоже создателей AVP немного заставляет быть не довольными.

И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.[/QUOTE]
[B]Alex5[/B], перечитайте мой предыдущий пост в этой теме (за [B]30.12.2006 19:06[/B]) - вам, надеюсь, станет ясно, зачем и почему AVZ так делает! И, пожалуйста, будьте внимательнее к тому, что тут пишется - люди ведь не зря сотрясают воздух! ;)

PS. На самом деле AVZ не "ругается" на перехваты, а лишь констатирует факт перехвата, и это [U]абсолютно правильно[/U]! Однако, чтобы не смущать пользователей, нужно показывать перехваты "безопасных" модулей зеленым цветом (это потребует некоторой переделки главного окна AVZ, точнее - использования другого контрола для отображения окна отчета) или же как-то дополнительно говорить об этом в отчете в главном окне AVZ. Этот функционал надо реализовать как можно скорее, т.к., я смотрю, количество вопросов подобного плана последнее время растет, причем даже от людей, которые знают AVZ уже довольно давно...

[QUOTE=NewUser;89685]С Outpost -аналогичная проблема.
Но, как я понял, файл заносится в "безопасные" не по названию, а по названию и сигнатуре.[/QUOTE]
Неправильно. Но это и не важно - вам, как пользователю, как разница? ;)

[QUOTE=NewUser;89685]И подверсий у Касперского и Outpost-а довольно много. Надо присылать файлы- добавят.[/QUOTE]
А вот это абсолютно верно!

[QUOTE=NewUser;89685]_________________
У меня другой вопрос, может стоит для подобных случаев создать
"Игнор-лист",
куда пользователь заносил бы доверенные приложения самостоятельно. Тогда бы подобные вопросы не возникали.
Туда можно занести кроме Каспера и Outpost драйвера Daemon Tools, оболочку RunPad Shell и прочие.
Вот тогда можно было бы чистить почти "не глядя".[/QUOTE]
В этом случае помимо игнор-листа надо будет еще реализовать функционал, не позволяющий "трогать" (к примеру, не давать снимать их перехваты) модули из безопасного списка + модули из игнор-листа. Может быть это и правильно, не знаю... хотя мне, к примеру, это не нужно - ведь понять, безопасный это модуль или нет, можно по списку процессов, dll и модулей ядра.

[QUOTE]failed (0xNNNNNNN)- в ходе выполнения операции возникли ошибки, в скобках указывается код ошибки[/QUOTE]

Не мешало бы описать что значит каждый номер ошибки.

[QUOTE=Muffler;89729]Не мешало бы описать что значит каждый номер ошибки.[/QUOTE]
Код, который выводится в журнале BootCleaner-а - это код NTSTATUS после выполнения команды скрипта. Скачайте набор утилит [URL="http://www.wasm.ru/tools/21/KmdKit.zip"]KmdKit[/URL], распакуйте его. Там внутри найдете утилиту [I]StatusToError[/I] - это то, что вам нужно, чтобы определить, что означает этот код.