AVZ 4.34-4.35

[QUOTE=Зайцев Олег;666932]
[+++] Поддержка x64 (в диспетчере процессов отображается тип процесса, поиск файлов ведется с учетом разрядности процесса,
карантин производится с учетом файлового редиректора (если есть идентичные файлы для x32 и x64, то карантинятся оба файла)
[/QUOTE]
Надо бы [URL="http://virusinfo.info/pravila.html"]Правила[/URL] подредактировать: выкинуть
[QUOTE][B][COLOR=Red]Внимание![/COLOR][/B][COLOR=Red] Не запускайте AVZ на x64. Мы не несём ответственность проблемы, возникшие в ходе запуска AVZ на системах x64[/COLOR] [/QUOTE]

Кибер таким логом не подавится?

переживаю, поэтому сообщаю повторно, обратить внимание на HookPtr="B8B2A652"CheckResult="0",

В 4.34 "Мастер поиска и устранения проблем" выдаёт в системных проблемах: "Скрыта кнопка завершения работы". Проявляется на серверных ОС - Windows 2000 Server, 2003, 2008.

[QUOTE=NickM;667346]Кибер таким логом не подавится?

переживаю, поэтому сообщаю повторно, обратить внимание на HookPtr="B8B2A652"CheckResult="0",[/QUOTE]
там свой высокоскоростной парсер, которые не считает это ошибкой и без проблем обрабатывает ...

[size="1"][color="#666686"][B][I]Добавлено через 39 минут[/I][/B][/color][/size]

[QUOTE=Vvvyg;667365]В 4.34 "Мастер поиска и устранения проблем" выдаёт в системных проблемах: "Скрыта кнопка завершения работы". Проявляется на серверных ОС - Windows 2000 Server, 2003, 2008.[/QUOTE]
И это верно - там есть такая блокировка, от природы стоит. зачем такая политика сделана - не знаю, видимо защита от шебутного админа с мышкой :)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=okshef;667261]Огромное спасибо, Олег, за обновление, но, похоже, [URL="http://virusinfo.info/showpost.php?p=454178&postcount=18"]обработка циклических ссылок в Windows 7[/URL] так и не исправлена. Из лога AVZ на Windows 7:[/QUOTE]
Там стоит защита от сканирования симлинков (которы могут быть крест-накрест). Если нечто считается обычной папкой - оно сканируется, при достижении предельной длинны просто скан прервется и пойдет дальше.

[QUOTE=Зайцев Олег;667367]

И это верно - там есть такая блокировка, от природы стоит. зачем такая политика сделана - не знаю, видимо защита от шебутного админа с мышкой :)

[/QUOTE]
Ну, вообще-то блокировка от выключения не касается администраторов, это чтобы ушлый юзер в терминальном режиме сервер не выключил. Может, для серверных систем это либо игнорировать вообще, либо выдавать только в режиме "Все проблемы"?

[QUOTE=Vvvyg;667391]Ну, вообще-то блокировка от выключения не касается администраторов, это чтобы ушлый юзер в терминальном режиме сервер не выключил. Может, для серверных систем это либо игнорировать вообще, либо выдавать только в режиме "Все проблемы"?[/QUOTE]
Я снижу ему приоритет до единицы (сейчас двойка, всего шкала трехбальная - мелкие проблемы=1, обычные=2, критические=3).

[QUOTE=Зайцев Олег;667411]Я снижу ему приоритет до единицы[/QUOTE]
Ну и ладушки :)

неудобство в окне "Мастера проблем", после пометки пробелом курсор так и прыгает на первую строку

[QUOTE=NickM;667477]неудобство в окне "Мастера проблем", после пометки пробелом курсор так и прыгает на первую строку[/QUOTE]

Согласен. Надо поправить!

Вот [URL="http://forum.kasperskyclub.ru/index.php?showtopic=20999&st=0&gopid=301841&#entry301841"]такая[/URL] проблема на 64 битной семерке при попытке запуска 7 стандартного скрипта, авз зависает

[B]Олег[/B], [url]http://virusinfo.info/showpost.php?p=668063&postcount=5[/url]

В логе снова [QUOTE]Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39][/QUOTE]

[QUOTE=thyrex;668180][B]Олег[/B], [URL]http://virusinfo.info/showpost.php?p=668063&postcount=5[/URL]

В логе снова[/QUOTE]
... база от 08.07.2010 09:40 ... - это пеовый вариант релиза, с необновленными базами.

думается Мне АВЗ скачан до,

[QUOTE=Зайцев Олег;666990]Версия перезалита, это был банальный левый символ в скрипте, попал туда перед сборкой баз новой версии ...[/QUOTE]

[B]Зайцев Олег[/B], В текстовой части лога опечатка. Возможно должно быть [B]настро[COLOR="Red"]й[/COLOR]ки[/B] или [B]настроек[/B] ?

[QUOTE]>> Повреждено меню [COLOR="Navy"]настроки[/COLOR] отображения папок[/QUOTE]

[IMG]http://s44.radikal.ru/i106/1007/66/c367e694cb36.png[/IMG]

"Восстановление системы" не работает (сброс SPI/LSP и TCP/IP точно не работает).

Win7U x32, при запуске стандартного скрипта №2,4 галка "Поиск клавиатурных перехватчиков" сбрасывается, при этом в логе "5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем"

[QUOTE=NickM;668998]Win7U x32, при запуске стандартного скрипта №2,4 галка "Поиск клавиатурных перехватчиков" сбрасывается, при этом в логе "5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем"[/QUOTE]
Это нормальное поведение - так заложено в скрипте. Если рапортов о сбоях антикейлоггера не будет поступать, я сниму эту блокировку

[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]

[QUOTE=tdenz2000;668977]"Восстановление системы" не работает (сброс SPI/LSP и TCP/IP точно не работает).[/QUOTE]
Каким образом это установлено ?

Cal[B]k[/B]FileMD5 так всегда будет именоваться? Мои кривые руки сами набирают Cal[B]c[/B]FileMD5 :(

Олег, можно подробнее об этом:
[QUOTE]9. Мастер поиска и устранения проблем
>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы[/QUOTE]

И вопрос по полиморфу: по штампу времени он идет 08.07.2010 10:43 - это первая версия, или уже пересобранная (из-за левого символа в скрипте) ?
Проверил: версия с ошибкой.

По онлайн документации:
- отсутствует полностью п 15.29.2 (хотя место зарезервировано)
- нет описания п 15.39.1

[QUOTE=Vadim_SVN;669244]Олег, можно подробнее об этом:


И вопрос по полиморфу: по штампу времени он идет 08.07.2010 10:43 - это первая версия, или уже пересобранная (из-за левого символа в скрипте) ?
Проверил: версия с ошибкой.

По онлайн документации:
- отсутствует полностью п 15.29.2 (хотя место зарезервировано)
- нет описания п 15.39.1[/QUOTE]
15.29.2 - у меня открылся, RegKeyExistsEx
15.39.1 - действительно глюк

АВЗ 4.34, , чтобы это значило?

в логе пишет:
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск со сменных носителей

при этом флэшки система "не раскручивает" + в системе укольчик от "Panda USB Vaccine"

[QUOTE='Зайцев Олег;669315']15.29.2 - у меня открылся, RegKeyExistsEx[/QUOTE]Да, в ИЕ все открывает.
В мозилле не открывал, пока не отключил PornoAdBlock :))) - где-то ему ...script_regkeyexist[B]sex[/B].htm не нравится

[QUOTE=tdenz2000;668977]сброс SPI/LSP и TCP/IP не работает.[/QUOTE]
[QUOTE=Зайцев Олег;669011]
Каким образом это установлено ?[/QUOTE]
В 4.32 при сбросе SPI/LSP и TCP/IP, адреса TCP/IP всегда устанавливались в автоматическое получение, сейчас адрес TCP/IP остается.

[QUOTE=tdenz2000;669497]В 4.32 при сбросе SPI/LSP и TCP/IP, адреса TCP/IP всегда устанавливались в автоматическое получение, сейчас адрес TCP/IP остается.[/QUOTE]
Этот сброс AVZ выполняет системными утилитами, потому не может делать это как-то по другому в разных версиях ...

[QUOTE=NickM;669382]АВЗ 4.34, , чтобы это значило?

в логе пишет:
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск со сменных носителей

при этом флэшки система "не раскручивает" + в системе укольчик от "Panda USB Vaccine"[/QUOTE]
могу предположить:
пандовакцина для отключения авторана использует 1 ключ реестра с параметром @="@SYS:DoesNotExist"
но насколько я помню на автозапуск флешек влияет несколько ключей, их вероятно и опрашивает avz

[B]Олег[/B], [B]ExecuteSysClean[/B] не доробатывает. В теме [url]http://virusinfo.info/showthread.php?t=82916[/url] пришлось использовать команды:
[code]RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
[/code]
Чтобы зачистить следы файла D:\WINDOWS\system32\gqplzga.exe

[QUOTE=AndreyKa;670046][B]Олег[/B], [B]ExecuteSysClean[/B] не доробатывает. В теме [URL]http://virusinfo.info/showthread.php?t=82916[/URL] пришлось использовать команды:
[code]RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
[/code]
Чтобы зачистить следы файла D:\WINDOWS\system32\gqplzga.exe[/QUOTE]
Там указано полное имя файла ? Для ExecuteSysClean должно быть совпадение значения в ключе реестра и имени удаляемого файла. Иначе не сработает (так как есть высокая вероятность ошибки и удаления лишнего)

В логах полное имя. Если в реестре не полное, а AVZ, не найдя файла, придумал для него путь, то это тоже баг.

[QUOTE=AndreyKa;670221]В логах полное имя. Если в реестре не полное, а AVZ, не найдя файла, придумал для него путь, то это тоже баг.[/QUOTE]
Не нужно придумывать ерунды. При удалении файла AVZ удаляет ровно то, что было указано в скрипте ... и ничего "придумать" не может в принципе. При поиске файла без полного имени (для карантина, при анализе) ведется поиск файла по альтернативным системным путям (если быть точным - то с помощью системной функции поиска), и при нахождении - отображается полное имя найденного файла. Если файл не найдется - то имя файла отображается "как есть"

[QUOTE=Зайцев Олег;669550]Этот сброс AVZ выполняет системными утилитами[/QUOTE]
Прошу прощения - разобрался. Проблема с NetSh на ПК. За AVZ большое спасибо.

создал Bat:
"avz.exe ag=y newdsk=y"
При выхоже не отключился гуард, добавил вторую строку в этот bat:
"avz.exe ag=n"
но при выходе все равно ничего не могу запустить

[QUOTE=tar;670799]создал Bat:
"avz.exe ag=y newdsk=y"
При выхоже не отключился гуард, добавил вторую строку в этот bat:
"avz.exe ag=n"
но при выходе все равно ничего не могу запустить[/QUOTE]
Вторая команда просто не запустится после первой ... а Guard придется или не включать, или выключать вручную

Нет, нет да появятся опасения по поводу запуска на системе x64.
тема с очередными опасениями [URL="http://virusinfo.info/showthread.php?t=83181"] http://virusinfo.info/showthread.php?t=83181[/URL]
От [B]gif [/B]уже было [URL="http://virusinfo.info/showpost.php?p=667309&postcount=41"]предложение[/URL] по этому поводу. Может кто-нибудь сделает это.

[QUOTE=NickM;669382]АВЗ 4.34, , чтобы это значило?

в логе пишет:
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск со сменных носителей

при этом флэшки система "не раскручивает" + в системе укольчик от "Panda USB Vaccine"[/QUOTE]

У меня еще интереснее - я уж плохое думаю. Win7 64 лицензионка. В отчете странное - разрешена отправка приглашения удаленному помошнику. Подпрыгнул, полез в настройки системы, ругая себя всякими словами. Гляжу- галка НЕ УСТАНОВЛЕНА. :O Если надо, screenshot приделаю, здоров он, зараза, но все на нем видно (1920х1200, зазипую, ежели понадобится).Удаленного стола тоже нет. Вопрос - сие особенность работы под 64 битами или уже озорники в компе лазят?

Олег, можно ли добавить в [B].xml[/B] лог информацию, касающуюся формата даты: какой формат даты и времени у пользователя на компьютере. Связано это с короткими датами, например такими:
[CODE]created: 7/7/2010 10:07:11 PM
modified: 7/8/2010 10:19:08 AM[/CODE]
В этом случае не понятно, какой это формат, американский или европейский (на самом деле в логе это был американский формат времени M/DD/YYY), но это стало понятно не сразу. Если, к примеру, будет написана дата, как
[CODE]10.10.10[/CODE]
То, учитывая стандарты форматов, даты:
[LIST][*]Европейский,[*]Американский,[*]Японский,[/LIST]

понять, где дата, год, месяц представляется сложной задачей.
Спасибо.

[QUOTE=okshef;673963]Олег, можно ли добавить в [B].xml[/B] лог информацию, касающуюся формата даты: какой формат даты и времени у пользователя на компьютере. [/QUOTE]
Можно, но в общем-то не нужно. Я внес исправление - в новой версии AVZ в лог (обычный и XML) даты будут попадать в нормализованном виде, по маске "DD.MM.YYYY HH:NN:SS", независимо от настроек формата даты и времени на ПК

[B]Зайцев Олег[/B], У меня ещё вопрос касающийся формата даты. Функция [B][url=http://z-oleg.com/secur/avz_doc/script_quarantinefilef.htm]QuarantineFileF[/url][/B] Там написано:
[QUOTE]ADateMin - минимальная дата файла. Дата задается в виде строки формата DD.MM.YYYY. При сравнении проверяется дата создания и дата последней модификации файла, если любая из дат больше заданной, то условие считается выполненным. Параметр необязателен, если контроль минимальной даты не нужен, то задается пустая строка.

ADateMax - максимальная дата файла. Дата задается в виде строки формата DD.MM.YYYY. При сравнении проверяется дата создания и дата последней модификации файла, если любая из дат меньше заданной, то условие считается выполненным. Параметр необязателен, если контроль максимальной даты не нужен, то задается пустая строка.
[/QUOTE]

А вот если у пользователя всё же формат в [B]M/DD/YYYY[/B], как он воспримет команду
[CODE]QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '1.06.2010', '3.06.2010');[/CODE]С диапазоном дат от 1 июня 2010 - до 3 июня 2010 года? Не получился ли что диапазон будет распознан как 6 января 2010 - 6 марта 2010 года?

Формат такого лога прикрепляю. Сделан версие [B]4.34[/B] и формат в ней не привёлся к DD.MM.YYYY HH:MM

Как быть? :?


Ещё вопрос.
Можно ли добавить команду, подобную QuarantineFileF, но чтобы в некий список выводились все подходящие по условиям файлы.

[QUOTE=Torerro;673978][B]Зайцев Олег[/B], У меня ещё вопрос касающийся формата даты. Функция [B][URL="http://z-oleg.com/secur/avz_doc/script_quarantinefilef.htm"]QuarantineFileF[/URL][/B] Там написано:


А вот если у пользователя всё же формат в [B]M/DD/YYYY[/B], как он воспримет команду
[CODE]QuarantineFileF('c:\windows\system32', '*.exe', false,'', 0, 0, '1.06.2010', '3.06.2010');[/CODE]С диапазоном дат от 1 июня 2010 - до 3 июня 2010 года? Не получился ли что диапазон будет распознан как 6 января 2010 - 6 марта 2010 года?

Формат такого лога прикрепляю. Сделан версие [B]4.34[/B] и формат в ней не привёлся к DD.MM.YYYY HH:MM

Как быть? :?
[/QUOTE]
В [URL="http://z-oleg.com/secur/avz_doc/script_quarantinefilef.htm"][B]QuarantineFileF[/B][/URL] все учтено - там формат жестко DD.MM.YYYY и не зависит от настроек ПК пользователя. В логе пока ничего не приводится - там даты форматируются по настройкам ПК (приведение дат будет в следующей версии AVZ).
[QUOTE=Torerro;673978]
Ещё вопрос.
Можно ли добавить команду, подобную QuarantineFileF, но чтобы в некий список выводились все подходящие по условиям файлы.[/QUOTE]
Можно, добавлю. Называться будет SearchFileF ...

приметил, хэлперы в разделе "Помогите" используют скрипты ExecuteWizard с параметром сохранения бэкапа, вопрос: как можно использовать созданный бэкап? через "Мастер поиска и устранения проблем" он недоступен. Также обратил внимание что созданные файлы отката отличаются размером и содержимым при исправлении одних и тех же проблем через мастер и через скрипт.

[QUOTE=NickM;674670]приметил, хэлперы в разделе "Помогите" используют скрипты ExecuteWizard с параметром сохранения бэкапа, вопрос: как можно использовать созданный бэкап? через "Мастер поиска и устранения проблем" он недоступен. Также обратил внимание что созданные файлы отката отличаются размером и содержимым при исправлении одних и тех же проблем через мастер и через скрипт.[/QUOTE]
ExecuteWizard делает ровно то, что и запуск через GUI (вызовы к одному и тому-же движку). Разница в том, что ExecuteWizard фиксит по уровню критичности, тогда как мастер - отмеченные проблемы. Откат через GUI должен работать ...