Вышла новая версия антивирусной утилиты AVZ - 4.45

У версии AVZ 4.46 в свойствах файла написано 4.45

[b]Зайцев Олег[/b], посмотрите HTML лог [URL="http://virusinfo.info/attachment.php?attachmentid=621739&d=1458448598"]отсюда[/URL]| [URL="http://www38.zippyshare.com/v/khX5lMBk/file.html"]зеркало[/URL].
Во всем логе отсутсвуют закрывающие теги </tr> и </td>
[quote="Зайцев Олег;1364363"]- они сбивают форматирование. Добавил экранирование таких спец. символов, что решит проблему[/quote]
Периодически постоянно вылазиют подобные проблемы из-за не экранированных символов, может можно использовать команду HTMLEncode ?

[quote="regist;1368070"]Периодически постоянно вылазиют подобные проблемы из-за не экранированных символов[/quote]Сегодня на всех форумах вижу просто массово эти глюки

Можно ли в утилиту "[B]Ревизор[/B]" добавить игнорирование симлинков, то есть пропуск файлов с атрибутами FILE_ATTRIBUTE_REPARSE_POINT | FILE_ATTRIBUTE_SPARSE_FILE ?
А то сейчас при сравнении с базой в лог выводит:
[code]
c:\programdata\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Search\Data\Applications\Windows\mss0005e.log = File created
[/code]

[quote="regist;1363901"]не видит вирусного VBS скрипта прописанного в Userinit[/quote]
Сегодня AVZ его наконец увидел, но имхо, лучше бы он и дальше его не видел чем так. Вот из XML лога
[HTML]<ITEM File="C:\Windows\system32\wscript.exe" CheckResult="-1" Enabled="-1" Type="REG" Size="198144" Attr="rsAh" CreateDate="21.11.2014 15:08:16" ChangeDate="28.12.2015 12:09:29" MD5="1918D6622E7B9B8F03F7AFCDC6E9E75B" Vendor="Microsoft Corporation" Product="Microsoft ® Windows Script Host" OFN="wscript.exe.mui" Ver="5.8.7601.18283" IsPE="1" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Userinit" X4="wscript C:\Windows\run.vbs" Is64="0"/>[/HTML]
В качестве левого (вирусного) файла прописанного в Userinit отображается и предлагается к удалению [B]wscript.exe[/B] вместо [B]run.vbs[/B]

А также заодно вопрос, разве подобная строка не должна была подсветиться CheckResult="3" ?

[URL="http://www62.zippyshare.com/v/kbM2GJir/file.html"]Пример лога.[/URL]

[URL="http://virusinfo.info/showthread.php?t=198616"]Пополнение базы чистых файлов AVZ не получается[/URL]
AVZ 4.46, Windows 10 Home Single Language (x64).

Если изменена кодовая страница (язык для неюникодных программ стоит English), AVZ не может получить доступ процессам (и не только), в пути к которым есть русские символы. Как результат - вешает на них подозрение на руткит.
И только по логу Check Browser's LNK видно в чем причина.

Комплект логов прилагаю.

Снова поломалось обновление баз в AVZ

[IMG]http://i78.fastpic.ru/big/2016/0722/b4/659f612383c4ebd809342ca4d655b7b4.png[/IMG]

Подтверждаю.
+
С последними базами в разных логах разных систем видим:
[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 21.07.2016 09:30:43
Загружена база: сигнатуры - 229835, нейропрофили - 2, микропрограммы лечения - 51, база от 21.07.2016 04:00[/QUOTE]

Доброго времени.
Обнаружил глюк парсера. Объясню на примере.
1) Находим драйвер, не значащийся как безопасный. Условие: Название файла образа отличается от имени сервиса.
Например дров от Асуса. Имя - "ATP", имя файла - "AsusTP.sys".
2) Сносим все права на ветку АТР.
3) Даем права текущему пользователю.
4) Копируем в \system32\drivers avz.exe, переименовываем в "atp.sys" (по имени сервиса).
5) Запускаем AVZ нормальный, и видим, что по данным АПИ файл образа "atp.sys", и опознан как безопасный.
Ругани на странные "права" нет.
После перезагрузки, правда, SCM этот сервис в упор не видит ))
PS: Я знаю причину глюка. Судя по методам обозначения путей к файлам в этом разделе, винду писали, покуривая турбокальян.

мелочь, но ...

[IMG]http://i78.fastpic.ru/big/2016/0801/64/9079856dc62f0be206e50e6f9fbd4964.jpg[/IMG]

и исправить ведь это не сложно. В правом нижнем углу цифры обрезаются. Надо немного увеличить размер поля.
Скрин сделан на ноуте с разрешением экрана 1024х768.

В секции "задач" попалась такая строка:

[ATTACH=CONFIG]643665[/ATTACH]

Может так и должно быть? Но кажется что-то все же не так.

[url]http://virusinfo.info/attachment.php?attachmentid=643814&d=1476304061[/url] отзеркалил [URL="http://www93.zippyshare.com/v/0y5oV1qU/file.html"]сюда[/URL]/
В XML логе продублированы секци <NET_DIAG> и <WMI_INFO> и при этом ещё у первой секции <NET_DIAG> нет закрывающего тега
Ранее писал о подобном [URL="http://virusinfo.info/showthread.php?t=189507&p=1334485&viewfull=1#post1334485"]тут[/URL], да и после несколько раз встречал такое. Так что это какая-то ошибка в AVZ которая периодически повторяются из-за которой получаются битые XML логи.

Полиморф не обновлялся с 2016-02-29 не пора ли пересобрать?

[b]Зайцев Олег[/b], [URL="http://upload.virusinfo.info/index.php?action=findbytopic&topicid=206886"]здесь[/URL] в карантине пример задания для запуска браузера с рекламной ссылкой, которое не видит AVZ.
Если возможно, то желательно для браузеров хотя бы для основных при запуске с такими аргументами подсвечивать CheckResult="3" по аналогии как происходит при запуске CMD с такими параметрами.

Сайт [url]http://z-oleg.com/[/url] лежит :?

[QUOTE]This Domain Name is Suspended

The domain name you have entered is not available. It has been taken down because the email address of the domain holder (Registrant) has not been verified.

If you are the Registrant of this domain name, please contact your domain registration service provider to complete the verification and activate the domain name.

NOTE: It may take upto 48 hours after verification for the domain name to start resolving to its website again.[/QUOTE]

[QUOTE=regist;1421372]Сайт [url]http://z-oleg.com/[/url] лежит :?[/QUOTE]
Увы лежит ... хотсер agava, которые домен мой поддерживал и предоставлял услуги хостинга в течении 12 лет, взял и передал всех своих клиентов в REG.RU. Причем передали криво, забив в моем случае вместо актуального и подтвержденного e-mail выкопанный где-то мой старый адрес. В итоге возник определенный глюк, хотя я владелец домена и все оплачено. Техподдержка REG.RU естественно в курсе (так как проблема массовая для клиентов agava), есть пошаговый регламент действий, я естественно необходимые документы для верификации направил и они уже в работе, процесс идет. Но я подозреваю, что как минимум те самые 48 часов процесс будет тянуться. Резервный домен в зоне RU проблема перехода не затронула, так что по адресу [url]http://z-olegcom.420.com1.ru[/url] сайт доступен. Равно как работает зеркало обновления баз на VirusInfo.

Мастер устранения проблем AVZ почему-то выявил нарушение ассоциации REG-файлов, который и в помине нет. Они открываются редактором реестра, как им и полагается. Никто не сталкивался с таким глюком утилиты?

[b]Matias[/b],
То что открываются это не значит, что в реестре значение соответствует эталону. Может там отличается на кавычки или другую мелочь в результате и находит эту проблему. Сравните текущее значение со значением после исправления и поймёте из-за чего.


[b]Зайцев Олег[/b], задания на запуск браузера до сих пор не отображается в логе, если исполняемый файл браузера проходит по базе безопасных.
И полиморф не обновлялся уже почти год.

По свежему полиморфу, то что успел пока протестировать.

1) Пишем скрипт
[CODE]procedure IsTermSession;

begin
ShowMessage('Проверка терминальной сессии');
end;

begin
IsTermSession;
end.[/CODE]
Проверяем редактором скриптов либо текущей релизной версией AVZ и убеждаемся, что ошибок нет.
Затем проверяем скрипт свежим полиморфом и получаем ошибку.

2) [url]http://virusinfo.info/showthread.php?t=189507&p=1419532&viewfull=1#post1419532[/url] - похоже исправлено, таки задания теперь выводятся в лог, что радует :).

3) [url]http://virusinfo.info/showthread.php?t=189507&p=1364007&viewfull=1#post1364007[/url] чистки реестра при удаление заданий всё ещё нет.

4) Возможно побочный эффект от экранирования угловых скобок в командной строке Хрома
[IMG]http://i91.fastpic.ru/big/2017/0212/5d/09c8bfd9ecd2143f3fc26de389ac1b5d.png[/IMG]
[CODE]Командная строка: <BR>"C:\Users\Админ\Desktop\avz.exe"[/CODE]
Сам лог [URL="http://www56.zippyshare.com/v/wHnWq9bY/file.html"]здесь[/URL].

5) Слишком агресивен стал к системным файлам, ругаясь на них "Подозрение на RootKit". Смотреть внизу лога из пункта №4.
В автокарантин при выполнение стандартного скрипта №8 эти файлы не попали.

6) По прежнему на x64 слишком у многих системных файлов "[I]ошибка получения информации о файле[/I]", при том что на x32 такой ошибки нет. Так что похоже бага с редиректором при доступе к системным файлам.

7) Не знаю считать за багу или нет, но 7-ке система берёт путь к файлу Hosts не из реестра, а системной библиотеки. А AVZ даже в менеджере файла Hosts предлагает редактировать тот файл к которому указан путь в реестре (при том, что это получается фейк если изменить путь в реестре).

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

По первому пункту похоже это не бага, а пасхальное яйцо в ввиде новой скриптовой команды :beer:

Похоже, что и этот полиморф не видит вирусные задания. В логе HiJackThis видно
[CODE]O22 - ScheduledTask: (Ready) httphophitnewsruenergysm - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hophitnews.ru/energysm
[/CODE]
А свежий полиморфный AVZ его не увидел, а сейчас такие задания в половине тем раздела лечения.
Архив с логами [URL="http://virusinfo.info/attachment.php?attachmentid=655111&d=1487096171"]тут[/URL], на случай если юзер удалит [URL="http://www6.zippyshare.com/v/tiXR7aUE/file.html"]зеркало[/URL].

1) Скидываю пару логов с Windows 8.1 ([URL="http://www5.zippyshare.com/v/aVtATEn9/file.html"]один[/URL] со стандартными настройками, [URL="http://www7.zippyshare.com/v/OSscq8Zq/file.html"]другой[/URL] с включенным "Юзыком для программ, не поддерживающим юникод" => English (USA)).
В списке процессов видим ????????.exe, вместо русского. При этом в колонке "Information" имя указано верно. Об этой ошибке [URL="http://virusinfo.info/showthread.php?t=189507&p=1379051&viewfull=1#post1379051"]писал ранее[/URL].

2) ОС Win10x64 - Во второй таблице, в колонке "Используется процессами" у всех модулей закрались лишние теги:
[quote]<a href="#proc_3580">3580</a>[/quote]
[URL="http://www66.zippyshare.com/v/FjFolo5b/file.html"]Ссылка на лог[/URL].
Еще: имя файла: .dll - старая ошибка (расширение без имени файла). Если тяжело локализовать, можно ведь просто постфактум воткнуть костыль, чтобы не выводить это в лог.

3) Также при отключении "Восстановления системы" в логе пишет, что System Restore: [B]enabled[/B]

4) Также:
[quote]
>>>> Suspicion for process file masking: C:\Windows\System32\wininit.exe
>>>> Suspicion for process file masking: C:\Windows\System32\winlogon.exe
>>>> Suspicion for process file masking: C:\Windows\System32\lsass.exe
>>>> Suspicion for process file masking: C:\Windows\System32\dwm.exe
>>>> Suspicion for process file masking: C:\Windows\System32\spoolsv.exe
>>>> Suspicion for process file masking: C:\Windows\System32\msdtc.exe
>>>> Suspicion for process file masking: C:\Windows\System32\WUDFHost.exe
>>>> Suspicion for process file masking: C:\Windows\System32\taskhostex.exe
[/quote]
Замечу, что это чистая эталонная система Win 8.1 (без обновлений).

5) Также, ИМХО, не вижу смысла выводить:
[quote]
Analysis: kernel32.dll, export table found in section .rdata
Function kernel32.dll:ReadConsoleInputExA (1094) intercepted, method - ProcAddressHijack.GetProcAddress ->777126DA->755BCDE1
Function kernel32.dll:ReadConsoleInputExW (1095) intercepted, method - ProcAddressHijack.GetProcAddress ->7771270D->755BCE05
Analysis: ntdll.dll, export table found in section .text
Function ntdll.dll:NtCreateFile (268) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C140->7530E8C3
Function ntdll.dll:NtSetInformationFile (549) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1BE60->7530E83F
Function ntdll.dll:NtSetValueKey (580) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C1F0->7531C8CD
Function ntdll.dll:ZwCreateFile (1645) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C140->7530E8C3
Function ntdll.dll:ZwSetInformationFile (1924) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1BE60->7530E83F
Function ntdll.dll:ZwSetValueKey (1955) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C1F0->7531C8CD
Analysis: user32.dll, export table found in section .text
Function user32.dll:CallNextHookEx (1531) intercepted, method - ProcAddressHijack.GetProcAddress ->77127633->7530E829
Function user32.dll:SetWindowsHookExW (2303) intercepted, method - ProcAddressHijack.GetProcAddress ->7712FDA3->7531BAF9
[/quote]
если есть возможность однозначно идентифицировать, что перехват поставлен MS антивирусом.

На моей ОС Win 10x64 ещё такое (может, нужна какая доп. инфа?):
[quote]Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
[/quote]

6) Карантин папки с файлами, имеющими в имени юникодные символы, - не исправлено.

Hello♣.exe
opera セッ.lnk

[quote]
Ошибка карантина файла, попытка прямого чтения (c:\temp\Hello¦.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\temp\Hello¦.exe)
Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (c:\temp\opera ??.lnk)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\temp\opera ??.lnk)
Карантин с использованием прямого чтения - ошибка
[/quote]
7) [URL="http://virusinfo.info/showthread.php?t=189507&p=1339091&viewfull=1#post1339091"]Фича с юникодом[/URL] для DeleteFile не добавлена.

8 ) Ещё [URL="http://virusinfo.info/showthread.php?t=189507&p=1368271&viewfull=1#post1368271"]была просьба[/URL] фильтровать флаг "симлинк" у программы-ревизора.

9) aitagent /increment - это легитимное задание.

10) Про ошибки с файловым переадресатором уже не пишу, думаю не сложно воткнуть туда Wow64DisableWow64FsRedirection / Wow64RevertWow64FsRedirection, после чего проверить файл на предмет того, является ли издателем ЭЦП - Майкрософт (CertVerifyCertificateChainPolicy + CERT_CHAIN_POLICY_MICROSOFT_ROOT), и если да, не выводить это в лог вообще или помечать зелёным.

11) И ещё хотелось бы видеть:
например, в секции "Автозапуск" и "Printing system extensions" есть файлы без полного пути (только имя), хорошо бы применять к ним функцию PathFindOnPath, чтобы система находила для них полный путь и указывать именно его в логе. К тому же без этой операции невозможно получить доп. инфу о файле (как дату, анализ ЭЦП и т.п.).
Тоже касается секции "Задания".

12)
[quote]C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe
ошибка получения информации о файле[/quote]
в секции автозапуск. По факту антивирусный сканер уже давно удалён и файла там нету, т.е. по идее должен был писать нечто вроде "Файл отсутствует". Переадресатор не при чём. Отказов в доступе по правам тоже нет.
Такая же ошибка актуальна и для секции "Задания".

13) Модули расширения проводника. (на примере, HashTab) - имя файла вообще не может определить, и ничего не выводит в колонку "Имя файла". Возьмём NirSoft shexview-x64. Как видим, полный путь находит:

[quote="regist;1435278"]Похоже, что и этот полиморф не видит вирусные задания[/quote]
Подтверждаю. Еще [url=http://www85.zippyshare.com/v/VQWAQg0v/file.html]архив[/url] с логами.

Ещё по поводу тестирования полиморфа на предмет ошибок о которых сообщалось в теме после релиза текущей версии.

1) Проблема с кодировкой при копирование русского текста до сих пор не исправлена. Решение проблемы давно написано [url=http://forum.kaspersky.com/index.php?showtopic=327882&pid=2441228&st=0&#entry2441228]здесь[/url].

2) ZIP_ExtractArchive по справке должно вернуть
[QUOTE]Возвращаемое значение:

0 - успешное завершение работы
1 - файл архива не найден (или нет прав доступа к архиву)
2 - невозможно создать каталог для извлекаемых файлов
3 - в ходе распаковки возникла непредвиденная ошибка
4 - архив не является ZIP архивом, или поврежден, или указан неверный пароль
[/QUOTE]
А на самом деле во всех случаях возвращает Exit code = 4294967295.

3) По прежнему при прыжке из AVZ в реестр имитируются нажатия клавиш из-за чего порой приходится несколько раз "прыгать в реестр", чтобы открыть нужный ключ. Хотя [url=http://virusinfo.info/showthread.php?t=155719&p=1253459&viewfull=1#post1253459]тут[/url] и [url=http://virusinfo.info/showthread.php?t=189507&p=1367156&viewfull=1#post1367156]тут[/url] давно был описан способ как сразу открывать нужный ключ.

4) Наконец AVZ сумел удалить в реестре параметр command в ключе MSConfig, но зато теперь в HTML логе теперь нет кнопки для автоматической вставки этой команды. Раньше была кнопка, но не работало удаление, теперь удаление работает, но нет кнопки.

5) [quote="Зайцев Олег;1098383"]1. В принципе можно что-то смудрить ... при автоанализе это учитывается (там есть дата формирования лога по часам ПК и дата его получения, если первое на сутки больше второго, то значит часы ПК сбиты)[/quote]
До сих пор не сделано
[QUOTE]Attention !!! Database was last updated 09.02.2017 it is necessary to update the database (via File - Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.46 private build
Scanning started at 15.02.2016 18:59:13[/QUOTE]

6) [quote="regist;1340189"] В логе XML очень часто параметр SHPath="" пустой. А для JOB файлов он вообще всегда пустой.[/quote]Не исправлено.

7) [quote="Dragokas;1379051"]Если изменена кодовая страница (язык для неюникодных программ стоит English), AVZ не может получить доступ процессам (и не только), в пути к которым есть русские символы.[/quote]
Проблема осталась и вместо пути к файлу [URL="http://www60.zippyshare.com/v/LyokVmC5/file.html"]virusinfo_syscheck nonUnicod.zip[/URL]. Чуть выше [b]Dragokas[/b], также отписался об этой проблеме, но в моём логе AVZ вообще обрезал путь к файлу в столбце "File name"
[IMG]http://i89.fastpic.ru/big/2017/0221/91/fa452aa078e57b239c3bc1a945138e91.png[/IMG]

8) [quote="Dragokas;1435525"]Еще: имя файла: .dll - старая ошибка (расширение без имени файла). Если тяжело локализовать, можно ведь просто постфактум воткнуть костыль, чтобы не выводить это в лог.[/quote]
Напомню, что там вообще пустой параметр и файла на самом деле нет. В теме и [URL="http://virusinfo.info/showthread.php?t=141836&page=4&p=1092410&viewfull=1#post1092410"]экспорт его выкладывался[/URL], см. пункт №4.

9) [quote="regist;1342491"]В меню лишняя кнопка (пункт) Справка, а как следствие пункт не рабочий (при нажатие ничего не происходит).[/quote]
оказывается об этом сообщали ещё в 2014 [url]https://forum.kaspersky.com/index.php?showtopic=313174[/url] но также без ответа.

10) [quote="Dragokas;1435525"]И ещё хотелось бы видеть:
например, в секции "Автозапуск" и "Printing system extensions" есть файлы без полного пути (только имя), хорошо бы применять к ним функцию PathFindOnPath, чтобы система находила для них полный путь и указывать именно его в логе. К тому же без этой операции невозможно получить доп. инфу о файле (как дату, анализ ЭЦП и т.п.).
Тоже касается секции "Задания".[/quote]
Присоединяюсь к просьбе, тем более сейчас появилась адварь которая прописывает свою .dll в секцию "Модули расширения системы печати".

11) [quote="Dragokas;1435525"]Также при отключении "Восстановления системы" в логе пишет, что System Restore: enabled[/quote]
Это актуально как для windows 8 так для windows 10.

12) Воспроизвёл у себя проблему когда полиморфный AVZ не видит вирусное задание на запуск браузера. Для этого использовал [URL="https://www.virustotal.com/file/92b5369627f2d344e213a4261d92bef1e4bb5288e0e0e61999ad22c90fd2fb2a/analysis/1487607087/"]это задание[/URL] (знаю, что сможете скачать его оттуда, а открыто в теме выкладывать не хочу).

[b]Зайцев Олег[/b],
1) Можно фича-реквест? Получение StdOut в переменную после выполнения ExecuteFile.
Реализацию можно посмотреть на MSDN: [URL='https://msdn.microsoft.com/en-us/library/windows/desktop/ms682499(v=vs.85).aspx']Creating a Child Process with Redirected Input and Output (Windows)[/URL]
(там и Input, и Output, а нам нужен только Output, например, какой-то отдельной функцией, или новым опциональным аргументом у ExecuteFile).

Эта фича поможет получить отладочный вывод некоторых утилит, а также позволит взаимодействовать с любыми консольными программами, без необходимости в костылях вроде отдельного вызова cmd /c process.exe > file.txt с последующим чтением file.txt.

2) [QUOTE]>> Services: potentially dangerous service allowed: Schedule (Планировщик заданий)[/QUOTE]
Может стоит убрать из HTML лога эту запись? Начиная с Windows Vista и выше эта рекомендация скорее вредна.

3) [url]http://virusinfo.info/attachment.php?attachmentid=655570&d=1487713143[/url]
В архиве логи AVZ собраны свежим полиморфом, но эти вирусные задания
[CODE]O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8F - \Microsoft - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F287A761F55.exe" /S --setresetup (file missing)
O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8F - \Microsoft\Windows - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F287A761F55.exe" /S --setresetup (file missing)
O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8FSB - \Microsoft - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F287A761F55.exe" /S --safebrowser (file missing)
O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8FSB - \Microsoft\Windows - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F287A761F55.exe" /S --safebrowser (file missing)
O22 - ScheduledTask: (Ready) A68B36607-42CA-4906-9C0E-09036C85F6F8 - \Microsoft\Windows - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\550F4B4B-00AE-47EB-9C72-BEEC75BB95FB.exe" --update (file missing)[/CODE]
увидел только новый HiJackThis.
[URL="http://www84.zippyshare.com/v/pkcgHKlz/file.html"]Отзеркалил лог [/URL]на случай если юзер удалит.

1) Хочу еще раз напомнить про просьбу ускорить переход к ветке реестра из-под инструмента "Сервис -> Поиск в реестре". Решение описано [URL="http://virusinfo.info/showthread.php?t=189507&p=1367156&viewfull=1#post1367156"]здесь[/URL].

2) В том же посте, решение с частичным зацикливанием поиска по реестру из-за отсутствия флага KEY_WOW64_64KEY.

3) Также предлагаю решение проблемы с выводом неверного пути к файлам при запуске AVZ из-под терминальной сессии.

Вкратце, под терминальной сессией API функция GetWindowsDirectory возвращает неверный путь к папке Windows, а именно - путь к профилю пользователя вместо c:\windows.
Чтобы решить эту проблему, необходимо проверять, если система Windows Server, то путь к папке виндовс определять не через GetWindowsDirectory, а например, с помощью раскрытия переменной окружения %SystemRoot%. В этой переменной хранится корректный путь к папке Windows, даже если её раскрыть программе, будучи запущенной под терминальной сессией.

[b]Зайцев Олег[/b],
1) Пора бы уже обновить полиморфный AVZ. И исправление замеченных в нём багов хотелось бы увидеть и за того, что базы там не обновлялись давно логи становятся всё длиннее.

2) [URL="https://forum.kasperskyclub.ru/index.php?showtopic=54787#entry803105"]Тут[/URL] у юзера опять были проблемы с отключением AVZPM. Этот вопрос и раньше несколько раз подымался, в частности [URL="https://virusinfo.info/showthread.php?t=155719&page=2&p=1099956&viewfull=1#post1099956"]тут[/URL].


3) Появилась ещё одна модификация заданий, на момент их карантина на них не было детекта касперского и AVZ разумеется их тоже не видит. Сейчас смотрю уже появился детект [COLOR="#FF0000"]HEUR:Trojan.Multi.StartPageTask.b[/COLOR]
Примеры заданий можете посмотреть в карантине по ссылкам:
[url]http://upload.virusinfo.info/index.php?action=findbytopic&topicid=209893[/url]
[url]http://upload.virusinfo.info/index.php?action=findbytopic&topicid=209766[/url]
[url]http://upload.virusinfo.info/show_analisys.php?fid=50538&topicid=209790[/url]
[url]http://upload.virusinfo.info/show_analisys.php?fid=50567&topicid=209959[/url]
[url]http://upload.virusinfo.info/show_analisys.php?fid=50586&topicid=209922[/url]

[b]Зайцев Олег[/b],
1) Спасибо за обновление полиморфа. Можно узнать список изменений в нём?
Из того что сразу в глаза бросилось это:
Наконец убрали этот список подозрительных-системных файлов в низу лога.
Починили баг появившейся в предыдущем полиморфе, вставка Command line: [B]<BR>[/B]"
Задание планировщика, про которое писал [URL="https://virusinfo.info/showthread.php?t=189507&p=1436480&viewfull=1#post1436480"]тут в пункте №12[/URL] до сих пор не видит.

2) Заметил довольно серьёзную багу, которая есть и в последней версии полиморфа и в предыдущих версиях AVZ, в частности из старых проверял версии 4.41, 4.43, 4,45. Проявляется не всегда, точней не на всех системах. Для воспроизведения на проблемной системе выполняем такой скрипт
[CODE]begin
clearlog;
ExecuteFile(GetAVZDirectory + 'rsit.exe', '', 1, 15000, false);
AddTolog('Код возврата - ' + IntToStr(GetLastExitCode));
end.[/CODE]
rsit.exe - разумеется лежит рядом с AVZ. А ExecuteFile возвращает код ошибки 4294967295.

Спасибо Dragokas, за помощь, удалось потестировать удалённо эту ошибку на одной XP, где она стабильно воспроизводится. Отработает нормально и с других путей не связанных C:\[B]Documents and Settings[/B]\ работает нормально, даже если они содержат в пути пробелы или русские символы.
А также добавлю, что даже если указывать полный путь, к примеру так
[CODE] begin
clearlog;
ExecuteFile('C:\Documents and Settings\Администратор\Рабочий стол\rsit.exe', '', 1, 15000, false);
AddTolog('Код возврата - ' + IntToStr(GetLastExitCode));
end.[/CODE]
То всё равно будет ошибка.

Для теста создал папку C:\Documents
и положил туда rsit.exe
При запуске этого скрипта rsit.exe запустился.

Вот [URL="http://www13.zippyshare.com/v/fhNRWXWG/file.html"]лог Process Monitor[/URL] в котором также видна проблема (отфильтрован, чтобы остались события только от AVZ).

Из-за этой баги AVZ в ряде тем не удалось получить логи с помощью AutoLogger-а, так как очевидно AVZ начинает искать утилиты для запуска совершенно в другой папке и как следствие ошибка запуска процесса.
Что-нибудь надо дополнительно проверить, чтобы вы исправили эту ошибку?

Подтверждаю наличие описанной выше ошибки. Она проявилась и на Win7 в [url=http://www.cyberforum.ru/viruses/thread1953586.html]этой теме[/url].
С рабочего стола собрались только логи AVZ, а при запуске остальных утилит ошибка запуска процесса. А с корня диска C: - всё отработало нормально.
Если понадобятся логи, могу предоставить.

[QUOTE=regist;1444483][b]Зайцев Олег[/b],
Из-за этой баги AVZ в ряде тем не удалось получить логи с помощью AutoLogger-а, так как очевидно AVZ начинает искать утилиты для запуска совершенно в другой папке и как следствие ошибка запуска процесса.
Что-нибудь надо дополнительно проверить, чтобы вы исправили эту ошибку?[/QUOTE]
На текущей сборке полиморфа это проявляется ? Я обновил сегодня сборку, указанные скрипты должны нормально запускать процессы

1) [quote="Зайцев Олег;1445053"]Я обновил сегодня сборку[/quote]
На проблемной XP свежий нормально отработал. Спасибо за исправление. На 7-ке надеюсь [b]Sandor[/b] попросит того юзера и тот проверит.

2) Посмотрите [URL="http://www76.zippyshare.com/v/vH5reyk4/file.html"]этот дамп[/URL] падения AVZ ? Похоже вылетает на этапе сканирования системы, это из [URL="https://virusinfo.info/showthread.php?t=210672"]этой[/URL] темы.

3) Список изменений полиморфного AVZ хотя бы относительно полиморфа от 10-го февраля можно узнать? И в частности хочется протестировать эту фишку, если вдруг её уже реализовали.
[quote="regist;1436986"]Получение StdOut в переменную после выполнения ExecuteFile.[/quote]

4) Хочется надеяться, что в релизе новой версии AVZ будет исправлен старый глюк с эмуляцией путей на серверных системах, [URL="http://www54.zippyshare.com/v/nodVHNU5/file.html"]пример лога[/URL].

[URL="http://www106.zippyshare.com/v/J0v1DuQr/file.html"]Лог[/URL], по нему
1) [CODE][B]\\?\[/B]C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\bufferutil\build\Release\bufferutil.node
[B]\\?\[/B]C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\ffi\build\Release\ffi_bindings.node
[B]\\?\[/B]C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\fs-ext\build\Release\fs-ext.node
[B]\\?\[/B]C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\idle-gc\build\Release\idle-gc.node
[B]\\?\[/B]C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\node-vulcanjs\build\Release\VulcanJS.node[/CODE]
Если не ошибаюсь раньше в AVZ было автообрезания префикса \\?\ при выводе в лог.

2) Видно, что на последнем полиморфе по прежнему выводятся в список подозрительных легальные системные файлы (это актуально и для windows 7).

3) Глюк с .dll (без имени) в HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Lsa, Security Packages до сих пор не исправлен.

Также проверил, что

4) Задание про которое писал выше (и ссылку на которое выкладывал) последний полиморф до сих пор не видит.

5) [quote="regist;1436480"]Проблема с кодировкой при копирование русского текста до сих пор не исправлена. Решение проблемы давно написано [URL="http://forum.kaspersky.com/index.php?showtopic=327882&pid=2441228&st=0&#entry2441228"]здесь[/URL].[/quote]
Также до сих пор не сделано.

Остальное проверять уже не стал, так как всё это перепроверять уходит много времени и не ясно исправляли ли вещи про которые писалось выше или нет.

[quote="Зайцев Олег;1445053"]Я обновил сегодня сборку, указанные скрипты должны нормально запускать процессы[/quote]
С обновленной версией на том же компьютере скрипты отработали нормально, спасибо.

[url]http://my-files.ru/wax089[/url]
В архиве дампы падения AVZ.

1. Последняя версия полиморфа не отображает названия дисков и windows 10.
[ATTACH=CONFIG]659400[/ATTACH]

2. В логе html неверно определяется статус работы восстановления системы, в логе она всегда отображается как включенная, а в win10 восстановление системы отключено по умолчанию (тест проведен с подачи regist).

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Забыл, проверялось на сборке windows 10 16184

[quote="akok;1447696"]В логе html неверно определяется статус работы восстановления системы, в логе она всегда отображается как включенная, а в win10 восстановление системы отключено по умолчанию[/quote]
Добавлю, что это двойной баг. В HTML логе показывает всегда, что она включено, в XML лог всегда пишет (даже если включить), что она отключено. То есть в одной паре логов по одной и той же вещи выводится противоположная информация.

Нашли более простой и надёжный способ решения бага с получением пути к папке windows на сервере терминалов.

Для этого нужно заменить используемую вами функцию на Get[B]System[/B]WindowsDirectory(), либо добавить флаг IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE к IMAGE_OPTIONAL_HEADER32.DllCharacteristics.

1) [url]http://z-oleg.com/secur/avz_doc/index.html?script_createqurantinearchive.htm[/url]
[QUOTE]Функция создает архив с файлами, помещенными в папку карантина. Из имеющихся в папке Quarantine подкаталога выбирается тот, который соответствующего максимальной дате. [/QUOTE]Раньше ведь в архив помещались файлы только собранные в карантин сегодня. Как давно поменялось поведение AVZ? Или так было всегда и просто было недопонимание из-за [URL="https://virusinfo.info/showthread.php?t=155719&p=1264590&viewfull=1#post1264590"]ошибки в справке[/URL]?

2) В русской справке ещё [URL="https://virusinfo.info/showthread.php?t=155719&p=1119840&viewfull=1#post1119840"]вот эти[/URL] опечатки надо бы поправить.

3) [url]http://z-oleg.com/secur/avz_doc/index.html?script_deletefilemask.htm[/url]
[QUOTE]После завершения обработки папки в данном случае производится проверка, остались ли в ней файлы - если файлов не осталось, то папка автоматически удаляется.[/QUOTE]Уже несколько версий не удаляет, а в справке до сих пор неверная информация.

4) [url]http://z-oleg.com/secur/avz/upload_qr.php[/url] - стоит увеличить лимит. На сегодняшний день лимит в 20 Mb при пополнение базы чистых это очень мало.

[B]Зайцев Олег[/B], можно сделать чтобы функция ExpRegKey экспортировала ключ в формате "Windows Registry Editor Version 5.00", а не 4 ?
Там по-моему нужно заменить RegSaveKey на RegSaveKeyEx с флагом REG_LATEST_FORMAT.

Спасибо.

Хорошо бы добавить возможность чтения скрытых ключей реестра (NtCreateKey, NtQueryKey, NtQueryValueKey, NtEnumerateKey, NtEnumerateValueKey, NtDeleteKey, NtDeleteValueKey).