Вышла новая версия антивирусной утилиты AVZ - 4.43

Можно ли в AVZ добавить проверку ярлыков на рабочем столе, панели быстрого запуска, а также проверку ярлыков для всех установленных в системе браузеров?

[b]mike 1[/b], об этом уже попросили Олега в приватном общении

[quote="regist;1087839"]И вот это ещё посмотрите. Это само-распаковывающийся 7-zip архив собранный на базе последнего полиморфа. Скачиваем - запускаем - соглашаемся с распаковкой - нажимаем кнопку Прервать работу скрипта. На х86 скрипт успешно останавливается, на х64 кнопка игнорируется. Даже если попытаться разблокировать интерфейс скриптовой командой кнопка игнорируется.[/quote]
Проблема снова актуальна на релизной версии AVZ с последним обновлением баз, похоже поломалось с обновлением баз.

И заодно уже столько исправлений было сделано, а дата обновления полиморфа
[QUOTE]2014-02-23 13:12[/QUOTE]

1. Парочка стилистических ошибок в справке (в локальной и в он-лайн версиях):

Подсистема AVZGuard - О технологии.
Рекомендации (2 пункт):
[QUOTE]• С точки зрения regedit операция пройдет успешно, но если обновить (данны[COLOR="#FF0000"]й[/COLOR]) данные при помощи F5, то можно убедиться, что реестр не изменился.[/QUOTE]
Особенности выключения ПК при включенном AVZGuard.
[QUOTE]• Некоторые (приложени[COLOR="#FF0000"]е[/COLOR]) приложения в момент завершения могут выдавать сообщение о ошибках, (связанны[COLOR="#FF0000"]е[/COLOR]) связанных с ограничением их деятельности[/QUOTE]
Заключение (красным):
[QUOTE]Поведение различных программ при включенном AVZGuard непредсказуемо, поэтому настоятельно рекомендуется закрыть все приложения перед включением AVZGuard и перезагрузиться после (лечени[COLOR="#FF0000"]е[/COLOR]) лечения с его использованием.[/QUOTE]

2. Пресловутый mobogenie снова попал в базу доверенных (виден в зеленых строчках лога).

Опять в табличной части лога не видно автозапуск браузера с командной строкой, а ведь должен светложёлтым подсвечиваться. [URL="http://virusinfo.info/attachment.php?attachmentid=476186&d=1401289693"]Вот пример лога.[/URL]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Что с базами AVZ происходит? Такое чувство что базы откатили назад вернув баги про которые ранее писали в этой теме. Вот например опять двойной параметр Is64
[HTML] <ITEM File="C:\Program Files (x86)\Real\RealPlayer\RPDS\Bin64\rpsystray.exe" CheckResult="-1" Enabled="1" Type="LNK" Size="1227360" Attr="rsAh" CreateDate="09.02.2014 16:44:37" ChangeDate="09.02.2014 16:44:37" MD5="55FE859162C05E90C6A7A7855BB2EC89" Vendor="RealNetworks, Inc." Product="RealPlayer Cloud" OFN="rpsystray.exe" VerMS="65536" VerLS="262292" IsPE="1" Is64="1" X1="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\" X2="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RealPlayer Cloud Service UI.lnk" X3="" X4="" Is64="0" />[/HTML]
лог [URL="http://virusinfo.info/attachment.php?attachmentid=476213&d=1401301818"]здесь[/URL].

[QUOTE=regist;1120255]Опять в табличной части лога не видно автозапуск браузера с командной строкой, а ведь должен светложёлтым подсвечиваться. [URL="http://virusinfo.info/attachment.php?attachmentid=476186&d=1401289693"]Вот пример лога.[/URL]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Что с базами AVZ происходит? Такое чувство что базы откатили назад вернув баги про которые ранее писали в этой теме. Вот например опять двойной параметр Is64
[HTML] <ITEM File="C:\Program Files (x86)\Real\RealPlayer\RPDS\Bin64\rpsystray.exe" CheckResult="-1" Enabled="1" Type="LNK" Size="1227360" Attr="rsAh" CreateDate="09.02.2014 16:44:37" ChangeDate="09.02.2014 16:44:37" MD5="55FE859162C05E90C6A7A7855BB2EC89" Vendor="RealNetworks, Inc." Product="RealPlayer Cloud" OFN="rpsystray.exe" VerMS="65536" VerLS="262292" IsPE="1" Is64="1" X1="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\" X2="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RealPlayer Cloud Service UI.lnk" X3="" X4="" Is64="0" />[/HTML]
лог [URL="http://virusinfo.info/attachment.php?attachmentid=476213&d=1401301818"]здесь[/URL].[/QUOTE]

В начале лога версия указана - 4.41 ...

1) Может можно прикрутить какое-то уведомление при обновление баз через GUI что вышла новая версия AVZ.
2) [QUOTE]7. Эвристичеcкая проверка системы
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=3] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\CMD = [cmd.exe /c start [url]http://extendedunlimited.org[/url] && exit]
Проверка завершена[/QUOTE]
почему не попало в табличную часть лога? AVZ 4.43, базы свежии. [URL="http://rghost.ru/56134581"]Вот лог.[/URL]
3) [url]http://rghost.ru/56134634[/url]
3.1 почему[CODE] [B]\SystemRoot\[/B]system32\DRIVERS\FStarForce.sys[/CODE]
почему путь к файлу не был нормализован (заменён на пусть к папке windows) ?
3.2 - регулярный фолс на файлы с типа [QUOTE]C:\WINDOWS\TEMP\~DF4553.tmp[/QUOTE]
уже один раз указывал на это [URL="http://virusinfo.info/showthread.php?t=155719&p=1104456&viewfull=1#post1104456"]здесь[/URL]. Кстати и на msi переодически ещё ругается, что-то типа Trojan.BAT.Del
4) Опять неэкранированные кавычки, правда здесь базы старые. Возможно это уже исправлено, но на всякий случай лог
[HTML] <ITEM PID="4532" File="c:\program files\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2011, NTI Corporation. All rights reserved." Hidden="0" CmdLine="&quot;C:\Program Files\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="296984" Attr="rsAh" CreateDate="06.01.2012 01:21:44" ChangeDate="06.01.2012 01:21:44" MD5="4DDE3E01B5020B3D5DEEC7E3DC0F3185" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.100" IsPE="1" />[/HTML]
[url]http://rghost.ru/56134946[/url]

5) [quote="regist;1122419"]Кстати и на msi переодически ещё ругается, что-то типа Trojan.BAT.Del[/quote]
вот [URL="http://rghost.ru/56164732"]пример лога[/URL]

6) Если для команды DeleteFile есть возможность указать разрядность файла (AMode : string = '32'), то такая же возможность по идее должна поддерживаться и для команды SysCleanAddFile.

7) DeleteDirectory(' ',' ') - во второй паре кавычек какой аргумент можно указывать? Это для того чтобы указать каким алгоритмом будет удаляться папка?

Увидел что тут присутствует Олег Зайцев потому решил написать сюда!
Смотрите что мне удалось увидеть, загрузился с установочного диска Windows 8 через командную строку запустил АВЗ и увидел в логах такое
А почему я лог загрузить сюда не могу?! Ладно вот сюда закинул [url]http://rghost.ru/56583277[/url]
Карантин сделать не получается пишет что ошибка, под самой виндовс 8 эти файлы АВЗ видит зелёным цветом, ведать это новый способ того как зараза скрывается...
Что скажите?! Как от этого избавиться?!
Ещё странно что загрузка с установочного диска на долго застряла (стоял фиолетовый экран) и аж потом появилось окно выбора языка, такое ощущение что в этот момент что то откуда то копировалось в этот диск X:

[quote="NickMukola;1130235"]Смотрите что мне удалось увидеть, загрузился с установочного диска Windows 8 через командную строку запустил АВЗ и увидел в логах такое[/quote]
Если система загружена с диска, AVZ исследует её, а не зараженную ОС.

[QUOTE=Никита Соловьев;1130256]Если система загружена с диска, AVZ исследует её, а не зараженную ОС.[/QUOTE] Ух ты живой специалист появился, а то я думал все вымерли как мамонты, спасибо что отаукнулись:) Так я из установочного диска проверял АВЗ и галочки на диске С: и этом Х: то есть эти два диска были проверены, вы лог этот смотрели вообще?! Посмотрите сколько там желтым цветом выделено всего =(
Кстати ещё раньше из загрузочного диска АВЗ тоже на диске С: нашел какой то файл, котрый из по самой оси АВЗ не находил почему то... Счас пороюсь в старых логах и скажу что за файл был...
Вот вроде это[ATTACH=CONFIG]481264[/ATTACH] под самим виндовсом оно этот gm.dls не видело, как то эта дрянь скрывалась...

PS что то мне ни логи ни скрины на ваш сайт закидывать не выходит, приходиться стронными ресурсами пользоваться...

[quote="NickMukola;1130258"]Ух ты живой специалист появился, а то я думал все вымерли как мамонты[/quote]
Ну прямо, загляните в раздел "Помогите", работа кипит там. Это просто тематические форумы.

[quote="NickMukola;1130258"]Так я из установочного диска проверял АВЗ и галочки на диске С: и этом Х: то есть эти два диска были проверены, вы лог этот смотрели вообще?! Посмотрите сколько там желтым цветом выделено всего =([/quote]
Смотрел. Вы имеете в виду сканирование дисков, которое в главном окне находится? Это не имеет отношения к сбору отчетов для анализа. Для сбора применяется стандартный скрипт № 2 или 3, который определяет текущий системный раздел автоматически. Оранжевый и даже красный цвет строк в отчётах не говорит о том, что данный файл представляет опасность.

Диск С в данном случае не проверялся. Вам по-русски вроде написали
[quote="Никита Соловьев;1130256"]Если система загружена с диска, AVZ исследует её, а не зараженную ОС.[/quote]

[QUOTE=Никита Соловьев;1130314]Ну прямо, загляните в раздел "Помогите", работа кипит там. Это просто тематические форумы.[/QUOTE]
Да что туда заглядывать от них помощи и так ни какой =( В отчётах куча красных строк как на скриншоте [ATTACH=CONFIG]481462[/ATTACH] а они говорят что так должно быть, впрямь такое ощущение что они прикрывают эту заразу...


[QUOTE=Никита Соловьев;1130314]Смотрел. Вы имеете в виду сканирование дисков, которое в главном окне находится? Это не имеет отношения к сбору отчетов для анализа. Для сбора применяется стандартный скрипт № 2 или 3, который определяет текущий системный раздел автоматически. Оранжевый и даже красный цвет строк в отчётах не говорит о том, что данный файл представляет опасность..[/QUOTE]

Да именно его и имею ввиду =) Я конечно не сильно разбираюсь в этих тонкостях настройки АВЗ(как и на что оно там заточено искать) но коль оно мне из под установочного диска виндовс 8 нашло на диске С: этот файп gm.dls и теперь проверка АВЗ из под самого виндовса 8 больше не выдаёт сообщений о подозрении на Trojan-Downloader.Win32 то значит таки как то оно скрывалось раньше, а Вы говорите не ищет оно ничего на диске С:, а ведь нашло =)
Я делал скрипт 3 и галочки были установлены на этом диске X: (который зачем то создаётся) и ещё ставил галку на диске C: Хотя какая разница, если в базах АВЗ эти файлы не существуют значит они какие то не такие, потому их и отмечает желтым, вроде даже UVS запущенное из под установочного диска виндовс 8 ругалось на этот файл SystemPropertiesPerformance.exe, и ещё раз повторюсь
"Ещё странно что загрузка с установочного диска на долго застряла (стоял фиолетовый экран) и аж потом появилось окно выбора языка, такое ощущение что в этот момент что то откуда то копировалось в этот диск X:" короче сидит какая то зараза, давайте калитесь как Вам её выковырять и предоставить на обследование...

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=thyrex;1130316]Диск С в данном случае не проверялся. Вам по-русски вроде написали[/QUOTE]

ой спасибо что сказали, а я то думал это на китайском =) Что же Вы злой такой то?! Плевать где оно там что ищет, Олег Зайцев базы АВЗ обновляет постоянно, и коль эти файлы пошли желтым значит тут уже что то не то, вот и хочу разобраться....
[COLOR="#FF0000"][B]Лучше скажите мне подскажите какую то програмулину с помощью которой можно ввести сектор диска и увидить какой файл на этом секторе лежит, а то я тут вроде кое что заметил [/B][/COLOR]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

И ещё вот эти три красавца напрягают:
dump_diskdump.dmp
[COLOR="#FF0000"]dump_dumpfve.dmp[/COLOR]
dump_nvstor.dmp

dump_diskdump.dmp и dump_nvstor.dmp после проверки на virustotal.com в этих дампах ничего не выявлено!

А вот эта дрянь [COLOR="#FF0000"]dump_dumpfve.dmp [/COLOR]на вирустотал имеет какую то дрянь в себе [URL="https://www.virustotal.com/ru/file/d97dd8c5353ad603b993b1275108e0ebf8539fea37a80f759da0c9bd2b599f6f/analysis/1403862860/"]вот смотрите[/URL] мало того на сколько я нагуглил оно имеет отношение к 64 разрядному виндовс, а у меня сейчас стоит 32, зачем оно мне?! Правда когда то стоял виндовс 7(64) ведать что то от него осталось но где?! Тем более что я делал затирание всего диска С: нулями перед установкой 8ки...

Кстати в АВЗ из под виндовс 7/8 дампы модулей ядра делаются на ура, а вот из под виндовс ХР почему то дампы модулей ядра делать нельзя, папка DMP не появляется, это я у знакомого выяснил что такие фокусы в ХР происходят, хотя ХРка уже на покой мелкософтом отправлена может и не стоит по этому поводу заморачиваться...

[b]NickMukola[/b], такой тон в адрес наших специалистов я допускаю в последний раз, в сообщении #54. Дальше с Вами разговоров не будет уже.
Если пришли консультироваться, будьте добры не вести себя развязно, тут не детский сад, все люди взрослые.

[QUOTE=olejah;1130688][b]NickMukola[/b], такой тон в адрес наших специалистов я допускаю в последний раз, в сообщении #54. Дальше с Вами разговоров не будет уже.
Если пришли консультироваться, будьте добры не вести себя развязно, тут не детский сад, все люди взрослые.[/QUOTE]

Ну вот как всегда по сути вопроса Вам нечего сказать, а рот баном затыкать Вы я вижу умеете и опыт у Вас наверное в этом большой =)
А что я собственно не так сказал?! Написал правду что в раздел "Помогите" нет смысла обращаться, и написал почему я так считаю, и вместо того чтобы задуматься над этим и улучшить свой ресурс в помощи юзерам Вы делаете наоборот!
По поводу сообщения к [B]thyrex[/B] ну так тут какой привет такой ответ, ведь по сути вопроса он ничего не ответил, а нравоучениями со мной заниматься не нужно!
ВОТ ИМЕННО ЧТО ХОЧУ ПОЛУЧИТЬ КОНСУЛЬТАЦИЮ И ОТВЕТ НА СВОИ ВОПРОСЫ, потому и решил тут написать, + создатель данной программы ОЛЕГ ЗАЙЦЕВ тут присутствует, честно говоря если бы не Олег я бы тут и не писал вовсе ничего!
Подозреваю что эта дрянь присутствует на многих компьютерах не только у меня, но по какой то причине она мастерски скрывается, ДАВАЙТЕ РАСКОПАЕМ ЭТО ДЕЛО И ТОГДА ПРОГРАММЕ AVZ ЦЕНЫ НЕ БУДЕТ, А ВЫ ПОЧЕМУ ТО ДЕЛАЕТЕ ВСЁ ДЛЯ ТОГО ЧТОБЫ НИЧЕГО КОПАТЬ В ДАННОМ НАПРАВЛЕНИИ, ИЛИ МНЕ ПОКАЗАЛОСЬ...
Сейчас вижу только один выход старый дедовский метод затереть весть жесткий диск и снести всё, но тогда я не смогу дать вам на растерзание эту дрянь, и оно дальше будет фунциклировать где то у кого то...
ПОДСКАЖИТЕ МНЕ, ЕЩЁ РАЗ ПОВТОРЮСЬ:
"Лучше скажите мне, подскажите какую то програмулину с помощью которой можно ввести сектор диска и увидеть какой файл на этом секторе лежит, а то я тут вроде кое что заметил" я просто наблюдаю некие партиции ФАТ в старой разметке жесткого диска, хотя никогда не создавал такого добра, вот и предполагаю что оттуда ноги растут, возможно это оттуда всё подгружается в момент зависания загрузочного диска виндовс(я выше об этом писал)

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Я понимаю так, коль базы всегда обновляются (ведь АВЗ не мертвый проект, а вполне развивающийся) и коль оно показывает эти файлы на диске X: желтым значит уже что то не то, в карантин закинуть их не могу пишет какую то ошибку в прямом чтении(ведать эта дрянь защищается так) а под установленным виндовс 8 эти же файлы с такими же названиями/именами вроде как есть на диске С: но уже АВЗ их показывает почему то зелёным, мыслю ловите?! Вот вам новый метод как оно прячется!
Сначала я грешил на установочный диск виндовс 8, так как мой лицензионный в руках ребёнка дал трещину =) (но ключ то от виндовса остался) потому скачал образ с торрента записал на болванку, но потом выяснил что с образом из торрента всё как бы нормально ведь хеш сума образа сходиться с сайтом MSDN значит оригинал!
Вот мои копания и привели меня к этим неизвестным парциям ФАТ...

[b]Зайцев Олег[/b],

1) AVZ проверяет настройки прокси и выводит в лог информацию об
[QUOTE]7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-3714907952-3208398762-1056632465-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="http=127.0.0.1:8080"
Проверка завершена[/QUOTE]
Но AVZ не проверяет ключ
[CODE]HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\[/CODE]
например не видит такое
[CODE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies]
@="http=127.0.0.1:8080"[/CODE]

2) [quote="regist;1122419"]3.2 - регулярный фолс на файлы с типа
C:\WINDOWS\TEMP\~DF4553.tmp[/quote]
Собрал небольшую подборку логов с фолсом на файлы вида TS_8BCC.tmp [URL="http://rghost.ru/56670120"]лежит тут.[/URL]
Надеюсь этого достачно чтобы откректировать эвристику на эти файлы. Во всех этих логах в этих файлах подозревается Подозрение на [COLOR="#FF0000"]Trojan.Win32.Agent2.byu[/COLOR].

3) Просьба проверить насколько удачно удаляет AVZ драйвер regfltrx64.sys при заражение
not-a-virus:AdWare.Win32.Tirrip (Adware.PirritSuggestor) на х64 системах.
[QUOTE]64-х битный ИСПОЛНЯЕМЫЙ
тип запуска: При инициализации ядра (1)[/QUOTE]
У меня на виртуалке AVZ с ним не справился.

[quote="Зайцев Олег;1093492"][+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов[/quote]
можно аналогичный фикс сделать и в HTML логе? Увы, там тоже встречаются NUL символы.

Опять непонятный символ - 0х05 в XML логе
[IMG]http://i61.fastpic.ru/big/2014/0707/75/5490bb44e58dc6c3899a5aa3dc504275.png[/IMG]
[IMG]http://i61.fastpic.ru/big/2014/0707/6a/6560a1d4e4c7bfecb6d1e31d147db56a.png[/IMG]
[URL="http://rghost.ru/56775686"]вот лог.[/URL]

1) Mobogenie опять попал в базу чистых.
[HTML]<ITEM PID="596" File="c:\program files\mobogenie\daemonprocess.exe" CheckResult="0" Descr="" LegalCopyright="" Hidden="0" CmdLine=""C:\Program Files\Mobogenie\DaemonProcess.exe"" Size="761024" Attr="rsAh" CreateDate="23.01.2014 22:20:17" ChangeDate="10.12.2013 10:30:11" MD5="1A48C5D391127BB190FEAB18EE5FB6E2" IsPE="1"[/HTML]
[URL="http://rghost.ru/57039783"]вот лог.[/URL]

2) Уже писал про ошибку парсинга подобной строки, по тому логу вроде поправили, сейчас снова не совсем правильно распарсило
[HTML]<ITEM File="$11022A,3464320,53248,C:\Users\2BD1~1\AppData\Local\Temp\Rar$EXa0.501\Tunngle_Setup_v4.4.0.1.exe" JobName="SidebarExecute" Status="23653220" CheckResult="-1" Enabled="49720800" Descr="" LegalCopyright="" SHPath="C:\Windows\system32\Tasks\" FullCmd=" C:\Program Files (x86)\Windows Sidebar\sidebar.exe /SL5="$11022A,3464320,53248,C:\Users\2BD1~1\AppData\Local\Temp\Rar$EXa0.501\Tunngle_Setup_v4.4.0.1.exe""/>[/HTML]
[URL="http://rghost.ru/57039873"]вот лог.[/URL]

3) Непонятные символы в XML
[HTML] <Interface Name="Hamachi" IPAddress="0.0.0.0" SubnetMask="0.0.0.0" DefaultGateway="????SC?????A??????????????c????????????ѕ??????????????????ѕ???????????????ѕ???????????????????????????????????????????????????????????????ѕ??????????????????ѕ???????????????ѕ???????????????????????????????????????????a??????a????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????в????????aA??????Џ?A????a??a!???ЎЖ????????????????????????????????????????????????????????a??????????????????????????????????????????????????????????????????????????????????????????????????°???????????????????????????C????|?ad?????A???????a????????????ѕ??????????????????ѕ??????????????????????????????????????ѕ??????????????????ѕ??????????????????ca????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????Р?????a????C??????????????????????????e!??a????a??A?????c??a???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????|lC?????ш??????OC" NameServer="" Domain="" DhcpServer="25.0.0.1" />[/HTML]
[IMG]http://i67.fastpic.ru/big/2014/0722/98/6d347e6e94f1cfb688e28de2de1db298.png[/IMG]
[URL="http://rghost.ru/57039937"]лог.[/URL]

4) Не экранированные кавычки в XML [URL="http://rghost.ru/57039975"]логе[/URL]
[HTML]<KEYLOGGER>
<ITEM File="C:\Windows\system32\uxtheme.dll" Verdict="Реагирует на события: клавиатура
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "Область поиска")
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "")
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "")
Передает данные процессу: 122780 C:\Users\sem\Desktop\AutoLogger\AVZ\avz.exe (окно = "Антивирусная утилита AVZ")" CheckResult="-1" Size="245760" Attr="rsAh" CreateDate="14.07.2009 06:39:11" ChangeDate="13.02.2014 22:38:26" MD5="44A31726E11AD598BB1D9C30A691D06A" Vendor="Microsoft Corporation" Product="Операционная система Microsoft® Windows®" OFN="UxTheme.dll.mui" Ver="6.1.7600.16385" IsPE="1" IsDLL="1"/>
<ITEM File="C:\Windows\system32\slc.dll" Verdict="" CheckResult="-1" Size="36352" Attr="rsAh" CreateDate="14.07.2009 06:35:27" ChangeDate="03.08.2011 21:34:01" MD5="75DEBE9728CF0E1882C3D55D4DEC0C6D" IsPE="1" IsDLL="1"/>
</KEYLOGGER>[/HTML]

5) Опять не экранированные кавычки
[HTML] <ITEM PID="1984" File="c:\windows\samsung\panelmgr\ssmmgr.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine="&quot;C:\Windows\Samsung\PanelMgr\SSMMgr exe" /autorun" Size="688128" Attr="rsAh" CreateDate="09.03.2013 14:44:42" ChangeDate="05.07.2011 22:31:59" MD5="280B622B4C4C717A9E053EAA01B38949" OFN="LaserSMMgr.EXE" Ver="3.3.0.4" IsPE="1" />[/HTML]
[URL="http://rghost.ru/57040211"]вот лог.[/URL]

Два момента связанных с x64 системами.

1. 3 и 4 программы восстановления игнорируют настройки поиска и стартовых страниц для x64 версии IE. После применения в скрипте[CODE]ExecuteRepair(3);
ExecuteRepair(4);[/CODE]
и дополнительной проверки с помощью AdwCleaner часто находится, например, такое:[CODE]Настройка Найдено : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://www.sweet-page.com/web/?type=ds&ts=1403215882&from=cor&uid=ST31000524AS_9VPF8Z98XXXX9VPF8Z98&q={searchTerms}
Настройка Найдено : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://www.sweet-page.com/?type=hp&ts=1403215882&from=cor&uid=ST31000524AS_9VPF8Z98XXXX9VPF8Z98
Настройка Найдено : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page] - hxxp://www.sweet-page.com/?type=hp&ts=1403215882&from=cor&uid=ST31000524AS_9VPF8Z98XXXX9VPF8Z98
Настройка Найдено : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] - hxxp://www.sweet-page.com/web/?type=ds&ts=1403215882&from=cor&uid=ST31000524AS_9VPF8Z98XXXX9VPF8Z98&q={searchTerms}[/CODE]

2. Windows 7 x64, не работает толком интернет. В логе видим:[CODE]4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл C:\Windows\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл C:\Windows\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2[/CODE]

Применяем ExecuteRepair(14), в повторном логе ошибок LSP нет, но перестаёт пинговаться всё, кроме 127.0.0.1.
По логу MiniToolBox видим:[CODE]x64-Catalog9 04 C:\Windows\System32\rsvpsp.dll [Файл не найден] ()
x64-Catalog9 05 C:\Windows\System32\rsvpsp.dll [Файл не найден] ()[/CODE]
После фикса другой утилитой работа сети была восстановлена.

Опять всякий рекламный хлам попал в базу безопасных файлов. :(

1) Выполняем в AVZ скрипт

[CODE]var testlog : string;
begin
testlog := (GetAVZDirectory+'test.log');
AddLineToTxtFile(testlog,#10#13+#10#13+#10#13+#10#13+#10#13);
ExitAVZ;
end.[/CODE]
Открываем test.log в Hex редакторе и видим
[IMG]http://i68.fastpic.ru/big/2014/0730/72/c26e5080cca2605500008ed63d94f072.png[/IMG]

2) В старых темах попадается уведомление
[QUOTE]Задано сообщение, выводимое в ходе загрузки[/QUOTE]
Воспроизвёл проблему у себя, но алерта не вижу. Это бага?
[img]http://i67.fastpic.ru/big/2014/0730/e1/49c2ae1ba2f1ebd32d70459bfe48f3e1.png[/img]
[img]http://i67.fastpic.ru/big/2014/0730/47/898c8042bdbf747188556c05b6132347.png[/img]

PS. да и имхо не хватает проверки ещё многих политик, например блокировка контекстного меню проводника [URL="http://virusinfo.info/showthread.php?t=163894&p=1142145&viewfull=1#post1142145"]вчера попалась.[/URL]

[URL="http://virusinfo.info/showthread.php?t=164730"]Вирус поразил explorer.exe (заявка № 164730)[/URL] - AVZ не видит Corkow:[QUOTE]Полное имя C:\DOCUMENTS AND SETTINGS\A.ZUSMAN\APPLICATION DATA\DAOAM\ICFMON.ECR
Имя файла ICFMON.ECR
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CORKOW (ССЫЛКА ~ HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD\SYSTRAY)(1) AND (ЦИФР. ПОДПИСЬ = ОТСУТСТВУЕТ ЛИБО ЕЕ НЕ УДАЛОСЬ ПРОВЕРИТЬ)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 3BD0872646000
Linker 7.0
Размер 278016 байт
Создан 06.08.2013 в 09:26:39
Изменен 06.08.2013 в 09:26:39
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Subsystem Windows character-mode user interface (CUI) subsystem
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 3884CB469F1170ADAFBC85466E7F1C1929D95243
MD5 4D0C2C90B8282A9409436BF8DB45584F

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-113050150-1033929171-1805770670-1190_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SysTray[/QUOTE]

[quote="Vvvyg;1147998"](ССЫЛКА ~ HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHE LLSERVICEOBJECTDELAYLOAD\SYSTRAY)(1) [/quote]
Просьба в логе AVZ убрать кнопку [B]Удалить[/B] около этого параметра, чтобы не было соблазна его удалить вместе с вирусом
[IMG]http://i68.fastpic.ru/big/2014/0813/a5/119083cf47d7f9605e850899e2e938a5.png[/IMG]

[quote="regist;1148047"]Просьба в логе AVZ убрать кнопку [B]Удалить[/B] около этого параметра[/quote]А еще лучше заменить ее на кнопку [B]Исправить[/B]

А еще меня подмывает давно попросить добавить кнопку [B]Удалить_всю_папку[/B], что актуально для зачистки папок от множества Adware, которыми может быть завален компьютер пользователя

[quote="thyrex;1148241"]А еще лучше заменить ее на кнопку Исправить[/quote]
Я подразумевал, что если кнопки удалить не будет, то AVZ будет знать что это системный ключ который удалять не надо и эвристик автоматом будет восстаналивать при необходимости значение этого параметра, как например это происходит с ключами винлогон.

А также мне не совсем понятно, по XML логу AVZ этот параметр вроде как и так имеет правильное значение :?
[HTML]<ITEM File="C:\Documents and Settings\elena\Application Data\DAOtp\iniompos.coi" CheckResult="-1" Enabled="1" Type="REG" Size="329728" Attr="rsAh" CreateDate="19.06.2013 16:47:19" ChangeDate="19.06.2013 16:47:19" MD5="0B838072C8B1B1E1AAFA563D72E130BF" IsPE="1" IsDLL="1" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad" X3="SysTray" X4="{35CEC8A3-2BE6-11D2-8773-92E220524153}" Is64="0"[/HTML]
Речь идёт параметре X4="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
ps. на всякий случай вот [URL="http://virusinfo.info/attachment.php?attachmentid=488828&d=1407689361"]этот лог.[/URL]

1) [URL="http://rghost.ru/57495414"]В логе[/URL] есть [QUOTE]Результаты автоматического анализа настроек SPI
Ошибка LSP Protocol: Количество протоколов 20 не соответствует реальному 21
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 1
Возможны проблемы при работе с сетью и Интернет[/QUOTE]
Почему в низу в текстовой части слова нет ни слова об этой проблеме?

2) [url]http://forum.kaspersky.com/index.php?showtopic=264508&view=findpost&p=2271947[/url]
Тоже подтверждаю этот баг. AVZ при формирования лога полностью игнорирует теги is64. А при удаление заданий просто проверяется разрядность системы.
Я понимаю, что команды вставляются через JavaScript заранее заготовленный при создание HTML лога, но такое чувство что XML и HTML лог создают разные утилиты и не знают об информации которую пишут во второй лог.

[QUOTE]1) В логе есть
Результаты автоматического анализа настроек SPI
Ошибка LSP Protocol: Количество протоколов 20 не соответствует реальному 21
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 1
Возможны проблемы при работе с сетью и Интернет
Почему в низу в текстовой части слова нет ни слова об этой проблеме? [/QUOTE]
Потому что лог нужно внимательней смотреть. ;)

[QUOTE]
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol: Количество протоколов 20 не соответствует реальному 21
[/QUOTE]

[quote="mike 1;1149406"]Потому что лог нужно внимательней смотреть.[/quote]
просмотрел, почему-то думал, что это выводится в 7-й или в 9-й секции.

1) Почему [QUOTE]Обнаружен вызов интерпретатора командной строки в автозапуске [DR=3] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\CMD = [cmd.exe /c start [url]http://extendedunlimited.org[/url] && exit][/QUOTE]опять перестало попадать в табличную часть лога со светло-жёлтым фоном? Вот ссылки на два свежих лога, в обоих свежие базы ;)
[url]http://rghost.ru/57610840[/url]
[url]http://rghost.ru/57610816[/url]
2) Почему в XML логе один и тот же параметр в разных секциях называется по разному? В процессах CmdLine, а в планировшике заданий FullCmd. Думаю намного удобней было бы удобней, если не было бы подобного раздвоения в именах. Просьба, если можно, в следующей версии это поправить.

Вот лог [url]http://rghost.ru/57851495[/url]
[HTML]<ITEM File="C:\Documents and Settings\All Users\Applicat" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices" X3="EventMessageFile" X4="C:\Documents and Settings\All Users\Applicat" Is64="0" />
<ITEM File="C:\Documents and Settings\All Users\Application" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect" X3="EventMessageFile" X4="C:\Documents and Settings\All Users\Application Da" Is64="0" />[/HTML]

Я так понимаю AVZ это так порубило [B]Application Data[/B] :O
Правда не понятно, почему также порублено и в X4.

1) [quote="regist;1155933"]Я так понимаю AVZ это так порубило Application Data[/quote]
[URL="http://rghost.ru/58077186"]вот аналогичный баг Settings\Apple1\knyxi.exe[/URL]
Из XML лога
[HTML]<ITEM File="C:\Documents and Settings\Apple1\fswagz.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="C:\Documents and Settings\Apple1\fswagz.exe,explorer.exe,C:\Documents and Settings\Apple1\knyxi.exe" Is64="0"[/HTML]

2) [url]http://rghost.ru/58077148[/url] в очередной раз пример того, что [CODE]cmd.exe /c start http://extendedunlimited.org && exit[/CODE] попало только в тестовую часть лога, базы свежие на момент снятия лога.
[URL="http://virusinfo.info/attachment.php?attachmentid=495351&d=1411019408"]вот[/URL] ещё один свежий пример.

3) [url]http://rghost.ru/58077224[/url] опять косяк с неэкранированными кавычками. Из XML лога
[HTML] <ITEM PID="4628" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (c) 2012, NTI Corporation. All rights reserved." Hidden="0" CmdLine="&quot;C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="533568" Attr="rsAh" CreateDate="23.08.2012 10:24:10" ChangeDate="23.08.2012 10:24:10" MD5="68B4E27EF0698FBDDD58753756C7EE6E" Vendor="NTI Corporation" Product="Acer Backup Manager" OFN="IShadowTray.exe" Ver="4.0.0.59" IsPE="1" />[/HTML]

Что означает такая запись?
[QUOTE]1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
[B]Ошибка в работе антируткита [Failed to set data for 'ImagePath'], шаг [17][/B][/QUOTE]
Что-то блокирует работу AVZ или какая-то ошибка в самом AVZ ?
[URL="http://rghost.ru/58369303"]Вот лог.[/URL]

1) На несколько постов выше уже писал, что AVZ не видит [quote="regist;1142629"]Задано сообщение, выводимое в ходе загрузки[/quote]
А сейчас такая проблема встретилась и [URL="http://virusinfo.info/showthread.php?t=167006&p=1162892&viewfull=1#post1162892"]у юзера в разделе помогите[/URL]. AVZ не увидел и соответственно и не смог её исправить.

2) Байду и прочую китайскую дрянь чуть ли не в каждой теме приходится вычищать, а AVZ добавил в базу чистых ;)

[IMG]http://i68.fastpic.ru/big/2014/1010/b7/44683259f816bcf6ce018b25969e80b7.png[/IMG]

3) [CODE],C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe[/CODE]не совсем коректно распарсило
[HTML]<ITEM File=",C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe" Is64="0"/>[/HTML]
[URL="http://rghost.ru/58444151"]вот лог.[/URL]

[quote="regist;1170334"]Байду[/quote]Она на движке ЛК :)

Вредонос попал в базу безопасных файлов. Этот скрипт подменяет ярлыки у браузеров.

[url]http://virusinfo.info/showthread.php?t=168447[/url]

[ATTACH=CONFIG]501913[/ATTACH]

[quote="regist;1170334"]Задано сообщение, выводимое в ходе загрузки
А сейчас такая проблема встретилась и у юзера в разделе помогите. AVZ не увидел[/quote]
вот опять [url]http://virusinfo.info/showthread.php?t=169118&p=1176858&viewfull=1#post1176858[/url]

[QUOTE=regist;1142629]Выполняем в AVZ скрипт ....[/QUOTE]
1. Это совершенно правильное поведение. Разделитель строк по дефолту - 0D+0A. AddLineToTxtFile записывает в файл строку, и добавляет после нее код перевода строки. В данном случае добавляемая строка "#10#13#10#13#10#13#10#13#10#13" (10 байт), плюс перевод строки 0D+0A (еще 2 байта)
2. Ключ реестра на Win7 другой (хотя параметры те-же). Бага, пофиксил, с очередным апдейтом баз будет фиксить. По остальным политикам нужен точный список, чего не хватает (в идеале - с указанием ключей/параметров реестра), добавить не проблема

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=mike 1;1172124]Вредонос попал в базу безопасных файлов. Этот скрипт подменяет ярлыки у браузеров.

[url]http://virusinfo.info/showthread.php?t=168447[/url]

[ATTACH=CONFIG]501913[/ATTACH][/QUOTE]

Там файл нулевого размера - такой не опасен, потому и "зеленый"

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

[QUOTE=regist;1170334]
3) [CODE],C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe[/CODE]не совсем коректно распарсило
[HTML]<ITEM File=",C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-92181681\1344dq8.exe" Is64="0"/>[/HTML]
[URL="http://rghost.ru/58444151"]вот лог.[/URL][/QUOTE]
Формально парсер прав (запятая допустима в имени файл, не найдя файл с указанным именем он пытается вырезать explorer.exe с начала пути. Главный вопрос тут в том, допускает ли Winlogon\Shell указания нескольких программ через запятую (сейчас ключ парсится из предположения, что не допускает - сов всеми вытекающими).

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=regist;1167556]Что означает такая запись?

Что-то блокирует работу AVZ или какая-то ошибка в самом AVZ ?
[URL="http://rghost.ru/58369303"]Вот лог.[/URL][/QUOTE]

На Win 8.1 x64 это вполне нормально

[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]

[QUOTE=regist;1160641]1)
2) [url]http://rghost.ru/58077148[/url] в очередной раз пример того, что [CODE]cmd.exe /c start http://extendedunlimited.org && exit[/CODE] попало только в тестовую часть лога, базы свежие на момент снятия лога.
[URL="http://virusinfo.info/attachment.php?attachmentid=495351&d=1411019408"]вот[/URL] ещё один свежий пример.
[/QUOTE]
Фиксится через обновляемую базу, после очередного апдейта такие элементы автозапуска должны появиться в таблице отчета, подсвеченные как подозрительные

[quote="Зайцев Олег;1177594"]2. Ключ реестра на Win7 другой (хотя параметры те-же). Бага, пофиксил, с очередным апдейтом баз будет фиксить. По остальным политикам[/quote]
скрин который я там выкладывал в теме был с XP на ней также не видело.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

и просьба [URL="http://virusinfo.info/showthread.php?t=155719&p=1134444&viewfull=1#post1134444"]просмотреть посты[/URL] и на предыдущей странице.