AVZ 3.80 - тестирование, обсуждение, предложения по доработке

[QUOTE=Зайцев Олег]В данном случае Geser прав - решение должен принимать человек, в хелпе и FAQ я это прописал ...[/QUOTE]
А определить название перехватчика в UserMode невозможно?

[QUOTE=DenZ]А определить название перехватчика в UserMode невозможно?[/QUOTE]
К сожалению практически нереально - руткит как правило инжектирует свой код в поражаемое приложение и ставит на него ссылку. Попытка обнаружения ведется - на случай, если код перехватчика находится в DLL, которая подгружена в поражаемый процесс - но я не помню срабатываний этого анализатора.

Уважаемые господа
у меня при инсталяции DrWeb4.33 нехорошо прописалась DLL для проверки доктором из контекстного меню. Удалить вручную естественно неполучалось, так как не давала ОС или Доктор. Попробовал AVZ отложенное удаление, показал файл, назначил отложенное удаление, AVZ предложил перезагрузиться, паралельно через стартер установил автозапуск AVZ. Но ничего не удалилось. Пришлось в ДОС.
На будущее, я наверное что-то сделал неправильно, или следовало из автозапуска удалить Спайдер гард?

Попробовал бы моей утилитой грохнуть ;)

[quote=WakenUp]у меня при инсталяции DrWeb4.33 нехорошо прописалась DLL для проверки доктором из контекстного меню. Удалить вручную естественно неполучалось, так как не давала ОС[/quote]
Имелась в виду drwsxtn.dll? Поскольку этот расширитель Проводника, то именно он её и держит. Надо в командной строке сделать CD в папку с Доктором и набрать:
[quote]regsvr32 /u drwsxtn.dll[/quote]
После этого удалятся без всяких заморочек.

Олег, поиском по "AVZ" в инете находится и такое
[url]http://plati.xost.biz/pay.php?id_d=141253[/url]
[url]http://www.shopdc.ru/pay.asp?id_d=141253[/url]

[QUOTE=anton_dr]Олег, поиском по "AVZ" в инете находится и такое
[url]http://plati.xost.biz/pay.php?id_d=141253[/url]
[url]http://www.shopdc.ru/pay.asp?id_d=141253[/url][/QUOTE]
Прикол :)

[QUOTE=Geser]Прикол :)[/QUOTE]
Ага - человек пытается сделать деньги из воздуха. Что интересно - размер архивчика маловат - судя по всему он торгует версией 1.0 :) Я отписал на оба сайта - пуская принимают меры. Кстати, "продавец" в обоих случаях один и тот-же ...

В Модули пространства ядра путь отображается так:
\SystemRoot\System32\DRIVERS\nv4_mini.sys
нельзя ли SystemRoot заменять на реальный путь к системной директории?

[QUOTE=Geser]В Модули пространства ядра путь отображается так:
\SystemRoot\System32\DRIVERS\nv4_mini.sys
нельзя ли SystemRoot заменять на реальный путь к системной директории?[/QUOTE]
Можно - он всеравно приводится к полному имени - для проверки по базе безопасных и карантина. Записываю в список доработок

Некорректно рапортует о работе с некоторыми службами. Например, попытался я снести драйвер звук. карты :) . AVZ сказал, что остановил, но реально ничего не произошло, в самом AVZ статус драйвера не изменился, и в журнал событий ничего не записалось.

И еще, в разделе "Автозапуск" нужно бы помечать файлы которые не найдены на диске

[QUOTE=userr]Некорректно рапортует о работе с некоторыми службами. Например, попытался я снести драйвер звук. карты :) . AVZ сказал, что остановил, но реально ничего не произошло, в самом AVZ статус драйвера не изменился, и в журнал событий ничего не записалось.[/QUOTE]
Да, есть такое дело - если система рапортует, что остановка драйвера прошла успешно, то это не означает, что он остановился .... я переделаю там идеалогию ...
[B]to Geser[/B]
Да, я тоже так думаю - надо реализовать, к понедельнику сделаю. И не только в автозапуске - в остальных анализаторах тоже. А если есть - мелким шрифтом размер, атрибуты ...
.....
Что интересно - я написал на [url]http://plati.ru/asp/pay.asp?idd=141253[/url] про торговлю AVZ, получил пока кучу отписок ...

[QUOTE=Зайцев Олег]Что интересно - я написал на [url]http://plati.ru/asp/pay.asp?idd=141253[/url] про торговлю AVZ, получил пока кучу отписок ...[/QUOTE]
Что отписывают?:)

[QUOTE=Geser]Что отписывают?:)[/QUOTE]
Вот что пишут:
[QUOTE]
Приносим свои извинения, возникли небольшие трудности.
Данный продавец зарегистрирован на торговой площадке Plati.ru и для его блокировки Вам необходимо обратиться к администрации Plati.ru по адресу [email][email protected][/email]

Данные продавца:
Продавец S1P ( id 32676 ),
товар: "Антивирусная утилита AVZ" расположен по адресу [url]http://plati.ru/asp/pay.asp?idd=141253[/url] .

Мы связывались с администратором Plati.ru, на что получили ответ о необходимости получения официального обращения от правообладателя, т.е. от Вас.
[/QUOTE]

Олег, срочно делай лицензию или регистрируй! Не знаю, как это точно называется. Короче, регистрируй права. Я думаю, что пора.

в справке встречаются опечатки, иногда по две штуки на фразу:
"естьменю, вызываемое по правой кнопке мышы"
а здесь скобка не туда ушла : "междугородные (международные звонки)"
а здесь окончание: "некий файл с расширение AVZ"
"Base не изврекается"

после запуска первая мысль была такая - а есть ли англоязычная версия?
в принципе, для этого не нужно делать отдельный пучок исходников -
достаточно вынести все тексты в отдельный конфиг.
это позволит "перевести" программу не только на английский, но и на
любой другой, было бы желание (и помощь) пользователей.

и еще такое предложение - реализовать в программе отдельную опцию (в
том же меню "Сервис\Менеджер...") для поиска на диске всех
PE-EXE файлов, работающих с сетью. проверять можно с помощью поиска
стандартных функций стандартных библиотек (winsock, wininet, rasapi32 и т.д.).
тем более что такие возможности у программы уже есть.

пожелание - чтобы программа знала САМА СЕБЯ как безопасный файл.
т.е. чтобы была в белом (или зеленом?) листе. и все ее предыдущие версии
тоже. а то получается странно:
Файл: D:\avz3\avz.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ

кстати, если нужны безопасные системные EXE/DLL, отсутствующие в белом листе, залил архивчик на FTP.

посканировал свою файловую базу, обнаружил несколько ложных срабатываний (подозрений) на безвредные файлы
(в том числе на GUI для моей антитроянской программы ;-)), а также кучку подозрений на реальные троянцы. сборник файлов искать на FTP.

замечание: зачем писать эвристическое предупреждение на файл, если он уже детектируется как конкретный троян?
d:\detected\files[1].chm/{CHM}//file.exe>>>>> Вирус !! Backdoor.Agent.ah
d:\detected\files[1].chm/{CHM}//file.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла

и еще - базы обновляются чаще, чем выходят новые версии программы, поэтому неплохо было бы иметь точный линк на daily (или им подобные) обновления

[QUOTE=Зайцев Олег]Да, есть такое дело - если система рапортует, что остановка драйвера прошла успешно, то это не означает, что он остановился .... я переделаю там идеалогию ... [/quote]
А разве в системный журнал при этом ничего не должно заноситься? У меня не пишется, только рапорт AVZ.

Выдало сейчас: [QUOTE]3. Сканирование дисков
C:\WINDOWS5\system32\CTF\[B]ctfmon.exe[/B]>>>>> Вирус !! Keylogger.Win32.FamilyKeyLogger.283 успешно удален
C:\WINDOWS5\system32\CTF\[B]ctfmon.dll[/B]>>> подозрение на Keylogger.Win32.HomeKeyLogger.170 ( 0A0CA250 0217AFF6 000EC219 00000000 5632)
Автоматическая чистка следов удаленных в ходе лечения программ
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\[B]DragnDrop.dll[/B] --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 382 TCP портов и 9 UDP портов
>>> Обратите внимание: Порт 4590 TCP - ICQTrojan (c:\program files\internet\emule\emule v0.45b morphxt 6.7\[B]emule.exe[/B])[/QUOTE]
[B]Зайцев Олег[/B]
[B]emule.exe[/B] - ''обычный осёл'', [B]DragnDrop[/B] - Plugins Far...
Добавь в свои базы безопасных файлов...
А с [B]ctfmon.exe[/B] - совсем ''непонятка'' - он всегда там ''жил''...

Kроме этого, [B]Real Time protector FDISK [/B] после работы [B]AVZ 3.80[/B] нaчал ''кричать'' на C:\WINDOWS5\Temp\[B]AV55327.tmp[/B] [U]Infection: BAT/DelTree@troj[/U]...

[QUOTE=DimaT]Kроме этого, [B]Real Time protector FDISK [/B] после работы [B]AVZ 3.80[/B] нaчал ''кричать'' на C:\WINDOWS5\Temp\[B]AV55327.tmp[/B] [U]Infection: BAT/DelTree@troj[/U]...[/QUOTE]
Это антивирусник на временный вал AVZ судя по всему выругался - он (AVZ) такие файлы создает в ходе проверки архивов. Насчет emule.exe и компании - стоит их прислать мне, я внесу в базы безопасных. А вот насчет
ctfmon.dll и всего остального из папаки CTF - судя по всему это дейтсвительно шпион-кейлоггер. Если интересно, я могу учточнить, где он держит логи и настройки - стоит выяснить, кто и с какой целью его поставил ...

[QUOTE=Зайцев Олег]Это антивирусник на временный вал AVZ судя по всему выругался - он (AVZ) такие файлы создает в ходе проверки архивов.[/QUOTE] Это, как раз, я понимаю...
Кстати, в той же C:\WINDOWS5\Temp\ осталось после работы еще 52 файла (2.45 Мб)... Он после себя не почистил?
Или оставил на следующий раз?
[QUOTE]А вот насчет ctfmon.dll и всего остального из папаки CTF - судя по всему это дейтсвительно шпион-кейлоггер. Если интересно, я могу учточнить, где он держит логи и настройки - стоит выяснить, кто и с какой целью его поставил ...[/QUOTE] Интересно, конечно...

Относительно ctfmon.dll в его папке в readme.txt написано: [QUOTE][B]SpyArsenal.com - Family Keylogger v2.83[/B]
-----------------------------------------
Family Key Logger v2.83 - this is the best choice,
if you want to know what others are doing on your
own computer while you are not at home (or office).
Install Family Keylogger, set options "Start in
hidden mode" and "Hide in task list", so that it
makes itself invisible to anyone. After you return,
you can just press keystroke to unhide.
Family Key Logger - you have the right to Know!

Order
-----
[url]http://www.spyarsenal.com/familykeylogger/order.html[/url]
License
-------
See License.txt
Copyright (C) 2002-2004. KMiNT21 Software. All Rights Reserved.
[/QUOTE]

[QUOTE=DimaT]Относительно ctfmon.dll в его папке в readme.txt написано:[/QUOTE]
Это подтверждает диагноз - это классический клавиатурный шпион - осталось узнать, кто его проинсталлил и для чего :) (он кстати инсталлится запуском сетапа, т.е. это ручная операция)

[QUOTE=DimaT]Выдало сейчас:
А с [B]ctfmon.exe[/B] - совсем ''непонятка'' - он всегда там ''жил''...[/QUOTE]
Прижился, почти домашний стал.
[url]http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453090753[/url]
Хотя если сам ставил, тогда ...

[QUOTE=DimaT]Это, как раз, я понимаю...
Кстати, в той же C:\WINDOWS5\Temp\ осталось после работы еще 52 файла (2.45 Мб)... Он после себя не почистил?
Или оставил на следующий раз?
[/QUOTE]
Это временные файлы, я усовершенствую алгоритм их зачистки после проверки, чтобы хвосты не оставались

[QUOTE=MOCT]в справке встречаются опечатки, иногда по две штуки на фразу:
...
и еще - базы обновляются чаще, чем выходят новые версии программы, поэтому неплохо было бы иметь точный линк на daily (или им подобные) обновления[/QUOTE]
распечатываю и подшиваю в папку "доработки" - в очередной версии постараюсь все учесть.

[QUOTE=Зайцев Олег]распечатываю и подшиваю в папку "доработки" - в очередной версии постараюсь все учесть.[/QUOTE]

Проще всего на главной странице сделать пунктик AVZ-daily,
Лучше всего - автообновление, ИМХО.

[QUOTE=RiC]Прижился, почти домашний стал.
[url]http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453090753[/url]
Хотя если сам ставил, тогда ...[/QUOTE]
Так в папке его цивилизованно даже uninstaller.exe ''лежал''. :D
Запустил - сам себя ''снес''...

[QUOTE=Зайцев Олег]распечатываю и подшиваю в папку "доработки" - в очередной версии постараюсь все учесть.[/QUOTE]
тогда еще до кучи ;-))

Замечена такая проблема - отсутствует кнопка/возможность "обновить дерево каталогов" на вкладке "Область поиска".
Т.е. если я создал в каталоге (где раньше не было подкаталогов) подкаталог, то просканировать только его AVZ не сможет ибо в списке каталогов он будет отсутстувовать.
В настоящий момент проблема решается закрытием и новым запуском программы.

Еще одна проблема - если я регулярно сканирую одну и ту же систему, то я вырабатываю/устанавливаю удобные для себя настройки.
Хотелось бы иметь возможность сохранять текущие настройки (профиль) с последующей загрузкой его по умолчанию (хранить можно в файле или реестре - по усмотрению автора).
Иначе каждый раз приходится расставлять все галочки по новой.

Нельзя просканировать файлы в каком-либо каталоге без сканирования подкаталогов.
Если убрать галочки со всех подкаталогов, то автоматически убирается галочка и с каталога. А ведь в нем тоже находятся файлы, которые нужно проверять. (перефразируя - "Не подкаталогами едиными..." ;)

Заметил, что с RAR-архивами у программы работа не сложилась. Это так и задумано, или у меня просто архивы особые? В любом случае, во избежании подобных вопросов желательно описать все типы проверяемых архивов в справке в разделе "О программе".

Снова по hlp - "в любом лсучае AVZ расчитан на возможность"

Заметил, что возможна ситуация, когда AVZ "вышибает из колеи" и после проверки файлов
программа (пропуская пункты 4,5,6,7, а также вывод строк
Просканировано файлов: 105, извлечено из архивов: 102, найдено вирусов 0
Сканирование завершено в 11.09.05 14:23:46
выдает
Сканирование длилось 00:00:02
и завершает поиск.
Происходит это при включенной опции "Проверять архивы" (максимальный размер выставлен по умолчанию, но файлов размером более 2мб в папке нет).
Происходит при проверке CHM внутри ZIP архива размером 1.8мб
Самое интересное, что в строке статуса продолжают мелькать проверяемые после этого имена файлов, но на экран уже ничего не выводится.
Но происходит это не всегда (т.е. при перекладывании файла в другое место там этот глюк не проявляется), видимо влияют еще и предшествующие файлы.

[QUOTE=MOCT]
Замечена такая проблема - отсутствует кнопка/возможность "обновить дерево каталогов" на вкладке "Область поиска".
Т.е. если я создал в каталоге (где раньше не было подкаталогов) подкаталог, то просканировать только его AVZ не сможет ибо в списке каталогов он будет отсутстувовать.
В настоящий момент проблема решается закрытием и новым запуском программы.[/QUOTE]
F5 (стандартная виндовая функция "обновить") или Right-Click в этом окне и "Обновить".

[QUOTE=MOCT]Еще одна проблема - если я регулярно сканирую одну и ту же систему, то я вырабатываю/устанавливаю удобные для себя настройки.
Хотелось бы иметь возможность сохранять текущие настройки (профиль) с последующей загрузкой его по умолчанию (хранить можно в файле или реестре - по усмотрению автора).
Иначе каждый раз приходится расставлять все галочки по новой.[/QUOTE]
Это предложение уже было... Олег, ты обещал создать тему со всеми предложениями по доработке AVZ, где же она? :) А то уже начинаем повторяться... и, кажется, не первый раз!

Почитал дискуссию на Кпнемо... В начале и в конце лога нужно что бы выводилось большими буквами что-то типа:
Внимание, эвристический анализатор может выдавать подозрение на вполне безопасные файлы, не удаляйте их! Все "подозрительные" файлы просьба отправлять для проверки на мыло...

[QUOTE=Geser]Почитал дискуссию на Кпнемо... В начале и в конце лога нужно что бы выводилось большими буквами что-то типа:
Внимание, эвристический анализатор может выдавать подозрение на вполне безопасные файлы, не удаляйте их! Все "подозрительные" файлы просьба отправлять для проверки на мыло...[/QUOTE]
Ага, я читая это пришел к налогичном мнению ...

Товарищи,
AVZ постоянно видит порты 1025,1026 UDP и TCP открытые процессами RPC.
Видит это и Port Explorer (как SYSTEM) но как RPC определяет AVZ.
DCOM и Remote Connect у меня закрыты еще в реестре, стена Sygate, кроме прочего стоит прямой запрет на все процессы RPC**.EXE и rpc***.dll
Дошло до того, что переименовал все rpc**.dll, кроме одной rpcrt4.dll - система не дает, также из-за отсутствия последней не запускается стенка.
Ни KAV, ни DrWeb, ни AVZ ничего странного не нашли.
Наверное ничего страшного, что-то криво стоит, но, видимо, если это беспокоит, то переустановка либо попробовать другую стенку (я бы другому сам так посоветовал).
Или есть выход?
Почему именно сюда -Автор ведь знает механизм определения процесса утилитой.
Если бы AVZ определила -SYSTEM, я бы, не заморачиваясь, просто поменял Sygate (Ну вот я уже и виноват, подумает Автор)

2 WakenUp

В "сервис" - "открытые порты TCP\UDP" в колонке "Приложение" должен быть указан полный путь к файлу.

[b]Олег[/b]
В "Менедженр Winsock" и в "Открытые порты TCP/UDP" в гриде ячейки не в Read-only режиме, на работу это не влияет, но у некоторых юзеров могут появится лишние вопросы.

И вообще, я уже предлагал изменить название с АВЗ на что-то другое. Как и предпологалось народ путается и начинает сравнивать АВЗ с антивирусами.
Я бы написал "Интегрированная среда для поиска и уничтожения вредоносных программ"
И не стоит поддаваться соблазну переделать АВЗ так что бы с ней могли работать "чайники".

P.S. Вот, предлагаю сменить название на AMT - AntiMalware Toolkit.

[QUOTE=Grey][b]Олег[/b]
В "Менедженр Winsock" и в "Открытые порты TCP/UDP" в гриде ячейки не в Read-only режиме, на работу это не влияет, но у некоторых юзеров могут появится лишние вопросы.[/QUOTE]
Глюк, исправлено

[QUOTE=Geser]И вообще, я уже предлагал изменить название с АВЗ на что-то другое. Как и предпологалось народ путается и начинает сравнивать АВЗ с антивирусами.
Я бы написал "Интегрированная среда для поиска и уничтожения вредоносных программ"
И не стоит поддаваться соблазну переделать АВЗ так что бы с ней могли работать "чайники".

P.S. Вот, предлагаю сменить название на AMT - AntiMalware Toolkit.[/QUOTE]
Делать AVZ под "чайника" я не собираюсь ... максимим из того,что я сделаю -это расширю хелп, всякие подсказки введу. Фокус в том, что AVZ имеет минус с точки зрения "чайника" - он много всего пишет в логи ... но лично я не сторонник "однокнопочных антивирусов/антишпионов".

AVZ конечно можно переименовать - но название прижилось, оно в куче статей фигурирует - проще AVZ вирусы научить ловить :) (это кстати планируется, для распространенной заразы типа Nsag, Hidrag ...). А сравнение с антивирем - это конечно неправильно, но ведь в хелпе AVZ написано, что это утилита, дополняющая антивирус ... только хелп никто не читает :)

[QUOTE=Geser]И вообще, я уже предлагал изменить название с АВЗ на что-то другое. Как и предпологалось народ путается и начинает сравнивать АВЗ с антивирусами.[/QUOTE]
А разве АВЗ - это не аббревиатура для "[B]АнтиВирус Зайцева[/B]"? :?
Чем плохо сравнивать АВЗ с антивирусом? Да, сигнатур немного (пока), но зато есть неплохой алгоритм поиска новой пакости!
АВЗ - это, можно сказать, уже бренд, известный многим! Зачем же менять ему название?