AVZ 4.30

[QUOTE=deepray;386337]Господа! Так и не понял, в какую ветку с этим обращаться. Поэтому прошёл сюда со страницы Download/Скачать:
- по ссылке со страницы "Download / Скачать" качается
Bepcия фaйлa: 4.28.0.66
Beрcия прoдуктa: 4.28, хотя вверху страницы указано: Антивирусная утилита AVZ - [B][U]4.30[/U][/B]. Или 4.30 и есть 4.28.0.66??? Тоже самое качается и по ссылке с первого поста этой ветки.
- всполошился я от того, что при сегодняшнем обновлении баз для имеющейся 4.28.0.66 в самом конце процесса выдаётся: [B][I]Oшибкa в xoдe aвтoмaтичecкoгo oбнoвлeния - Зaгpужeнный фaйл пoвpeждeн - main065.avz[/I][/B]
Несколько раз пытался. Вот и решил проверить версию.... А тут непонятки с номерами... А теперь ещё и с базой...
Проясните ситуацию, плз...[/QUOTE]
Версию продукта необходимо смотреть в "Справко/О программе", все остальное - от лукавого. По поводу обновления баз - необходимо проверить свою сеть, или выждать и повторить обновление - Интернет большой, мест глюка может быть много (перегрузка моего сайта, работы у хостера и провайдера, прочие глюки)

По поводу [URL="http://virusinfo.info/showthread.php?t=12248&page=2"]лжеактиваторов Windows[/URL].
[QUOTE]Может имеет смысл в AVZ сделать проверку автозапуска не у запущенной системы, а у неактивной. Это полезно при запуске с Live-CD, чтобы проверять не сидюк, а систему на жёстком диске заражённого компьютера. Ну или хотя бы дать список ключей в реестре, где можно прописать автозапуск (в т.ч. и в Safe Mode).
P.S. В AVZ нет возможности все ключи посмотреть, возникает ошибка Out of Range если ключ длинный. [/QUOTE]

[I]Цитата:
Сообщение от vistaorxpmoy
Может оффтоп, но хочу высказать пожелание с наилучшими намерениями, так сказать. Можно в стандартные скрипты, ну или в восстановление системы добавить скрипты на возвращение автозапуска, отключаемое мастером поиска и устранения проблем АВЗ, иногда требуется вернуть автозапуск. (а именно автозапуск с сетевых дисков, съёмных дисков, с СД, жёстких дисков,). Не всегда есть папка Бэкап. [/I]

Зайцев Олег
[B][U]Можно - в стандартные скрипты включу[/U][/B]

Апнул))

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

В "мастере поиска и устранения проблем" создаётся бэкап только первой проблемы из отмеченных, соответственно отменить можно только первую из найденных проблему. Запускал "системные проблемы" -- "все проблемы". Запуск с флешки, Виста.

Есть предложение по AVZ.
Выкладывайте вариант утилиты в SFX-архиве.
Не все знают, что такое распаковать архив.
Из бесплатных архиваторов отмечу 7-zip, редактором ресурсов можно вшить в окно распаковки подсказки на русском языке.

[B]bolshoy kot[/B], для использования AVZ необходим определённый уровень знаний. На пользователя, умеющего только кликать мышью, не стоит ориентироваться. К тому-же SFX-архив может быть заражен файловым вирусом и проверить это средствами AVZ не возможно.

AndreyKa, в данном случае я имел ввиду случай, когда "чайник" использует AVZ для создания логов. В таком случае пределом уровня знаний может быть выбор темы оформления Windows. (Пример: раздел Помогите virusinfo)

Олег! Взгляни вот сюда:
[url]http://virusinfo.info/showthread.php?t=33884[/url]

Ответь страждущим.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=bolshoy kot;389673]AndreyKa, в данном случае я имел ввиду случай, когда "чайник" использует AVZ для создания логов. В таком случае пределом уровня знаний может быть выбор темы оформления Windows. (Пример: раздел Помогите virusinfo)[/QUOTE]

В этом случае есть AVPTool. Чуть пообъемней, но и кликать там меньше надо.

Файл utk0otc2.sys из папки %SystemRoot%\system32\drivers имеет отношение к AVZ? Тестировал корпоративный McAfee, он детектит этот файл как Generic.dx.

[QUOTE=SuperBrat;391082]Файл utk0otc2.sys из папки %SystemRoot%\system32\drivers имеет отношение к AVZ? Тестировал корпоративный McAfee, он детектит этот файл как Generic.dx.[/QUOTE]
Это можно посмотреть по копирайтам файла. Скорее всего это драйвер AVZ, McAfee его всю жизнь детектировал

[QUOTE=Зайцев Олег;391090]Скорее всего это драйвер AVZ, McAfee его всю жизнь детектировал[/QUOTE]

Сегодня и Symantec начал его детектировать..

[QUOTE=Kuzz;392265]Сегодня и Symantec начал его детектировать..[/QUOTE]
Не сегодня - он его тоже всю жизнь детектировал :)

[QUOTE=Зайцев Олег;392274]Не сегодня - он его тоже всю жизнь детектировал :)[/QUOTE]
10.1.7.7000 корпоративный лишь сегодня не дал загрузиться антируткит-драйверу.
До этого спокойно разрешал.

Вот драйвер бут-клинера - это да, его удалял

[QUOTE=Kuzz;392293]10.1.7.7000 корпоративный лишь сегодня не дал загрузиться антируткит-драйверу.
До этого спокойно разрешал.[/QUOTE]
Подтверждаю, и для SEP11 - [URL="http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99"]Trojan Horse[/URL].

Я хочу еще раз высказать то что уже множество раз говорилось. Нужна возможность создания приватных баз чистых файлов. Например у нас в фирме много софта отсутствующего в базе чистых АВЗ. При этом софт на всех компьютерах стандартный. И если бы была возможность создать свою базу чистых по эталонному компьютеру, было бы значительно проще потом ловить зловредов.

[QUOTE=Geser;392726]Я хочу еще раз высказать то что уже множество раз говорилось. Нужна возможность создания приватных баз чистых файлов. Например у нас в фирме много софта отсутствующего в базе чистых АВЗ. При этом софт на всех компьютерах стандартный. И если бы была возможность создать свою базу чистых по эталонному компьютеру, было бы значительно проще потом ловить зловредов.[/QUOTE]
А что мешает передать эти файлы через форму загрузки чистых файлов ?

[QUOTE=Зайцев Олег;392729]А что мешает передать эти файлы через форму загрузки чистых файлов ?[/QUOTE]

Уже передавал. Вносятся они в базу очень медленно. И это понятно. Там несколько малораспространенных инструментов которые вообще у многих антивирусов вызывают срабатывание эвристики.

[QUOTE=Geser;392732]Уже передавал. Вносятся они в базу очень медленно. И это понятно. Там несколько малораспространенных инструментов которые вообще у многих антивирусов вызывают срабатывание эвристики.[/QUOTE]
так нет ничего проще - передать их еще раз и сказать мне MD5 или имена файлов уже переданных файлов - я ускорю процесс. На самом деле я уже давно думаю о второй форме отправки чистых файлов - закрытой, для хелперов и корпоративщиков

[QUOTE=Зайцев Олег;392733]так нет ничего проще - передать их еще раз и сказать мне MD5 или имена файлов уже переданных файлов - я ускорю процесс. На самом деле я уже давно думаю о второй форме отправки чистых файлов - закрытой, для хелперов и корпоративщиков[/QUOTE]

Я завтра загружу еще раз.
Но это ничего особо не меняет. Пока нет гарантированного времени анализа и занесения в базу безопасных необходима возможность создания приватных баз. А если ты боишся что они будут широко использоваться, то подпиши свои базы цифровой подписью, и при выполнения скриптов исследования системы то что не в подписанных базах можно выделять другим цветом. Я думаю огромное количество сисадминов будут рады такой возможности.

Кроме того, на мой взгляд, необходимы еще несколько усовершенствований.
1. Каждый лог исследования системы нужно ложить в свою папку название которой должно содержать число и время. Иногда выполняются разные действия, и хочется посмотреть что изменилось в логах. А сейчас новые логи давят старые. Очень неудобно.
2. Любое выполнение скрипта должно создавать автоматический лог, в котором будет как сам скрипт так и подробные результаты успешности выполнения каждой комманды. Таким образом если несколько машин заражены одним зловредом и одна вылечена удачно легко восстановить алгоритм лечения для остальных. Да и вообще удобно иметь историю того что делалось.
3. Нужно добавить возможность сравнения нескольких логов. Например сделав несколько логов с перегрузкой и посмотрев список отличий удобно находить зловреды меняющие имена при перегрузке. Сравнивать же глазами несколько больших логов практически нереально.

Это результаты моего недавнего применения АВЗ. Всего вышеперечисленного очень не хватало, и это могло бы сэкономить большую часть времени потраченного на лечение.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Возможно, даже удобнее что бы АВЗ вел один лог в котором будут протоколироваться все действия. Когда что запущено, какие файлы созданы, где с какими именами, какие скрипты выполнены...
Думаю очень удобно.
Особенно если кто-то сначала занимался самолечением а потом пришел на форум за помощю. Можно попросить лог и сразу станет понятно что делалось.

Файл сохранён как 090426_115156_geser_work_virus_49f4129cedc57.zip
Размер файла 1030541
MD5 307992f86aa77f1f3b242f80720bbea0
Чистые файлы с работы

[QUOTE=Geser;393079]Файл сохранён как 090426_115156_geser_work_virus_49f4129cedc57.zip
Размер файла 1030541
MD5 307992f86aa77f1f3b242f80720bbea0
Чистые файлы с работы[/QUOTE]
Сегодня они все будут в апдейте. Да, там есть пара программ, которые автоанализатор сразу записал в злобные вирусы :) (такова например участь многих качалок файлов, обновляторов продуктов и т.п.)

Хотелось бы уточнить, как лучше направлять файлы в форме [URL="http://z-oleg.com/secur/avz/uploadvir.php"]http://z-oleg.com/secur/avz/uploadvir.php[/URL] - как есть или в архиве с паролем, как принято на virusinfo? Один и тот же файл закачивал и так, и этак, но avz по-прежнему считает его подозрительным, хотя он скорее всего чистый. И по поводу закачки заведомо чистых файлов киберхелперу - по правилам требуется оставлять работающими только резиденты, висящие в трее. Стоит ли прикладывать туда файлы, не запущенные постоянно, но используемые на компьютере?

[QUOTE=Oyster;393610]Хотелось бы уточнить, как лучше направлять файлы в форме [URL]http://z-oleg.com/secur/avz/uploadvir.php[/URL] - как есть или в архиве с паролем, как принято на virusinfo? Один и тот же файл закачивал и так, и этак, но avz по-прежнему считает его подозрительным, хотя он скорее всего чистый. И по поводу закачки заведомо чистых файлов киберхелперу - по правилам требуется оставлять работающими только резиденты, висящие в трее. Стоит ли прикладывать туда файлы, не запущенные постоянно, но используемые на компьютере?[/QUOTE]
Приоритет формы на моем сайте самый низкий, так как туда сыпется лавина всякого мусора, как правило в разнообразных форматах и с непонятными паролями. Поэтому если AVZ что-то подозревает, то необходимо
1. Включить автокарантин подозрительных и просканировать то, на что ругается AVZ
2. Далее следовать по правилам отправки файлов киберхелперу
Насчет используемых программ - то запускать их не нужно. Дело в том, что когда ведется анализ на предмет наличия всевозможного зла, то эти программы не запущены и надобности в их опознании нет

По какому принципу AVZ проверяет файлы по каталогу безопасности Microsoft? Программа [B]не [/B]опознала LegitCheckControl.DLL, имеющий цифровую подпись, как безопасный. Файл оригинальный, скачан с сервера MS.

[QUOTE=Matias;395229]По какому принципу AVZ проверяет файлы по каталогу безопасности Microsoft? Программа [B]не [/B]опознала LegitCheckControl.DLL, имеющий цифровую подпись, как безопасный. Файл оригинальный, скачан с сервера MS.[/QUOTE]
Скачан с сайта MS и опознается по каталогу MS - разные вещи.

Вы хотите сказать, что наличие цифровой подписи Microsoft не означает, что файл обязательно будет опознан как безопасный?
P.S. В окне проверки есть чекбокс "Только чтение". По умолчанию он не отмечен. Что он означает?

[QUOTE=Matias;395245]Вы хотите сказать, что наличие цифровой подписи Microsoft не означает, что файл обязательно будет опознан как безопасный?
P.S. В окне проверки есть чекбокс "Только чтение". По умолчанию он не отмечен. Что он означает?[/QUOTE]
Именно так оно и есть. Т.е. условие признания файла безопасным - его наличие в каталоге MS. Просто наличия подписи мало ... По поводу <"В окне проверки есть чекбокс "Только чтение"> - не совсем понял, какое окно имеется в виду ??

[QUOTE=Зайцев Олег;395264]По поводу <"В окне проверки есть чекбокс "Только чтение"> - не совсем понял, какое окно имеется в виду ??[/QUOTE]
Я имел в виду диалоговое окно, вызываемое командой Сервис- Проверить подлинность файла по каталогу безопасности Microsoft, внизу которого имеется упомянутый неотмеченный чекбокс. Каким условиям должен отвечать файл для успешного прохождения по каталогу безопасности Microsoft?

[QUOTE=Matias;395267]Я имел в виду диалоговое окно, вызываемое командой Сервис- Проверить подлинность файла по каталогу безопасности Microsoft, внизу которого имеется упомянутый неотмеченный чекбокс. Каким условиям должен отвечать файл для успешного прохождения по каталогу безопасности Microsoft?[/QUOTE]
А, понял ... это стандартный чекбоксик диалогового окна MS, он не влияет на проверку. Условие проверки файла по каталогу безопасности MS простое - файл (точнее его хеш) должен быть в этом каталоге

Еще файлы с работы
Файл сохранён как 090501_154058_work_dov_49fadfcaf3066.zip
Размер файла 5306905
MD5 e8fdd185b81f3ed2feaac0d7e330ebbe
Всё что внутри папки incops3 гарантированно чистое. По поводу остального ничего гарантировать невозможно.

У меня возник вопрос, касающийся безопасных файлов. Вчера прислал их по правилам. Во время сбора файлов AVZ среди прочих поместил в карантин драйвер Нода epfwtdir.sys. Сейчас поискал этот файл через AVZ. Он создан 24.10.2008. Нод достаточно популярный антивирус, если судить по результатам исследований антивирусов, опубликованным на VI. Почему же файл до сих пор не числится в базе безопасных? Неужели я первый пользователь Нода, приславший безопасные файлы? В это как-то не верится. На всякий случай прикрепляю лог AVZ, созданный во время сбора файлов.

[QUOTE=Matias;397995]У меня возник вопрос, касающийся безопасных файлов. Вчера прислал их по правилам. Во время сбора файлов AVZ среди прочих поместил в карантин драйвер Нода epfwtdir.sys. Сейчас поискал этот файл через AVZ. Он создан 24.10.2008. Нод достаточно популярный антивирус, если судить по результатам исследований антивирусов, опубликованным на VI. Почему же файл до сих пор не числится в базе безопасных? Неужели я первый пользователь Нода, приславший безопасные файлы? В это как-то не верится. На всякий случай прикрепляю лог AVZ, созданный во время сбора файлов.[/QUOTE]
NOD на самом деле нет так уже и популярен, его драйвера за 4 года прислали всего 67 раз (это включая карантины в ходе лечения за всю историю VI + все присланные пополнения базы чистых, включая повторы). При этом часто бывает так, что NOD пропустит вирусов, вирусы его поедят - а пользователь добивает что останется и идет в "Помогите" (это видно по логам - в логах есть данные об этом драйвере, а по факту на диске его уже нет). Из присланного выделяется 15 уникальных разновидностей, 9 из которых в базе чистых (в том числе 4.0.417, 4.0.314, 4.0.226 RC1) - то, что часто встречается. А остальное лежит, ждет своей очереди - в базы чистых попадают только часто встречаемые файлы, иначе базы чистых раздуются до невероятного размера. Если вопрос возник, то я могу поднять этому файлу приоритет вручную - это несложно

[QUOTE=Зайцев Олег;398008]N в базы чистых попадают только часто встречаемые файлы Если вопрос возник, то я могу поднять этому файлу приоритет вручную - это несложно[/QUOTE]
Ясно. Думаю, в повышении приоритета нет особой необходимости.

Уважаемый Олег, буткит, упомянутый [URL="http://www.anti-malware.ru/node/1373"]тут[/URL], по-прежнему в AVZ можно только по перехватам \driver\disk[IRP_MJ_READ] / [IRP_MJ_WRITE] или же он не детектируется? Понятно по новости, что AVPTool уже его благополучно находит и лечит, а нет ли у Вас информации на счёт детектирования GMERом?
Этот, возможно, несколько сумбурный вопрос вызван желанием узнать возможные пути диагностирования буткита при заражении.
Хорошо бы, если бы AVZ тоже позволял фиксить MBR в таких случаях.

Здравствуйте, Олег.

Пытаюсь написать скрипт для AVZ, но не работает отправка сообщений через e-mail:
[CODE]begin
SendEmailMessage('mail.****.**.ru', 'AVZ', 'nick***@****.**.ru',
'AVZ email report',
'Report from computer "' + GetComputerName + '" '+#13 +
'SuspCount = ' + InttoStr(GetSuspCount) + #13 +
'DetectedCount = ' + InttoStr(GetDetectedCount) ,
false, '', '',
GetAVZDirectory + 'log/virusinfo_syscheck.zip',
'',
''
);
end.[/CODE]
В результате, AVZ задумывается на некоторое время, а потом выдаёт сообщение "Syntax error". :( Где ошибку искать, сообщение вообще не несёт никакой информации, синтаксис-то в порядке.

P.S. ***** я убрал реальный e-mail, чтобы роботы не нашли. :)

P.P.S. Если не в ту тему написал, прошу прощения. Не нашёл я поиском тему про скрипты AVZ.

[QUOTE=nisome;400430]Здравствуйте, Олег.

Пытаюсь написать скрипт для AVZ, но не работает отправка сообщений через e-mail
...
P.P.S. Если не в ту тему написал, прошу прощения. Не нашёл я поиском тему про скрипты AVZ.[/QUOTE]
Отдельной темы про скрипт-язык нет, поэтому можно и сюда - не принципиально. По поводу функции - она в теории рабочая, стоит проверить:
1. Имя ПК - нет ли в нем символов, которые могут привести к сбою
2. Работает ли почтовый сервер 'mail.****.**.ru' без авторизации
Для проверки в идеале следует взять сниффер и поставив фильтр на SMTP протокол запустить скрипт и посмотреть обмен AVZ с почтарем - протокол там тривиальный, все сразу встанет на места

[QUOTE=Зайцев Олег;400444] По поводу функции - она в теории рабочая, стоит проверить:
1. Имя ПК - нет ли в нем символов, которые могут привести к сбою
2. Работает ли почтовый сервер 'mail.****.**.ru' без авторизации
Для проверки в идеале следует взять сниффер и поставив фильтр на SMTP протокол запустить скрипт и посмотреть обмен AVZ с почтарем - протокол там тривиальный, все сразу встанет на места[/QUOTE]
[B]1.[/B] Имя ПК убрал, сейчас пробую такой вариант (пока с тем же результатом :():[CODE] SendEmailMessage('mail.****.**.ru', 'AVZ <nick7***@****.**.ru>', 'nick78**@*.ru',
'AVZ email report',
'Report from computer',
false, '', '',
'',
'',
''
);[/CODE]
[B]2.[/B] Сервер работает без авторизации, настройки скатывал из программы TheBAT.
[B]3.[/B] Под рукой нет сниффера, попробую найти и посмотреть... Может у вас есть простенький, который работает без установки (как Filemon или Regmon)?

[QUOTE=nisome;400481] Под рукой нет сниффера, попробую найти и посмотреть... Может у вас есть простенький, который работает без установки (как Filemon или Regmon)?[/QUOTE]

Вот [URL="http://www.1filesharing.com/download/0A0QROYE/tcpdump.zip"]tcpdump[/URL]. Работает без установки, но в командной строке. Мануалов по утилите в сети - море (он в никсовых системах давно используется).

[B]Зайцев Олег[/B], [B]gjf[/B]
Всем спасибо. [I]Syntax error[/I] был ответом сервера. Ему не нравился один из символов "<>" в поле от кого и кому. :beer:

Прошу прощения за дурацкий вопрос, но на нескольких компах на работе явный троян или что-то подобное: в System32 бесконтрольно размножаются файлы типа 21(любое число).scr.
Avast и ClamWin постоянно что-то находят - каждый своё - и якобы удаляют, но реально ничего не меняется.
AVZ либо ничего особого не говорит при проверке дисков - либо подвешивается с концами (если включать драйвера расширенного мониторинга процессов и гард).
Где бы прочитать инструкцию - как грамотно провести исследование системы в такой ситуации (маловероятно, что какая-то иная утилита покажет что-то вразумительное - если AVZ не говорит - или я неправ?)?
Если это новый зловред, атакующий MBR (см.выше), то AVZ должен его детектить или пока ещё он определяется только по косвенным признакам?
Спасибо :)

[QUOTE=Nick222;400759]Прошу прощения за дурацкий вопрос, но на нескольких компах на работе явный троян или что-то подобное: в System32 бесконтрольно размножаются файлы типа 21(любое число).scr.
Avast и ClamWin постоянно что-то находят - каждый своё - и якобы удаляют, но реально ничего не меняется.
AVZ либо ничего особого не говорит при проверке дисков - либо подвешивается с концами (если включать драйвера расширенного мониторинга процессов и гард).
Где бы прочитать инструкцию - как грамотно провести исследование системы в такой ситуации (маловероятно, что какая-то иная утилита покажет что-то вразумительное - если AVZ не говорит - или я неправ?)?
Если это новый зловред, атакующий MBR (см.выше), то AVZ должен его детектить или пока ещё он определяется только по косвенным признакам?
Спасибо :)[/QUOTE]
Действий в такой ситуации может быть несколько, полагаться на сигнатурный поиск AVZ в данной ситуации смысла нет:
1. Идти в раздел "Помогите", делать логи и т.п.
2. Выполнить [URL]http://virusinfo.info/showthread.php?t=3519[/URL], послать полученный карантин и посмотреть, что расскажет "кибер" про него