AVZ 4.29

Для работы AVZ из-под Windows Preinstallation Environment(WinPE) и BartPE LiveCD удобно использовать RunScanner ([url]http://www.paraglidernc.com/plugins/runscanner.htm[/url]). Причём, можно сделать плагин, а можно просто выполнить команду RunScanner.exe /y /t 0 avz.exe для работы на целевой (удалённой=уделанной) системе. Всё, что должно работать для неактивной системы, работает, только не нужно забывать о регистрации необходимых библиотек (autorun0_runscanner.cmd) и размещении в каталоге AVZ файлов: RunScanner.exe, RunScannerDLL.dll (или указании пути к ним в переменных).
Испытывалось при загрузке WindowsXPE с Flash-брелока, вариант с загрузочным CD (DVD), судя по всему, тоже будет работать, но с небольшими неудобствами: сохранять логи и запускать AVZ c актуальными базами придётся на другом (перезаписываемом) носителе.

В процессе сканирования AVZ выдал предупреждение о маскировке процесса по всем выполняемым процессам, включая свой собственный
[quote]>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 4 System.exe
>>>> Обнаружена маскировка процесса 456 C:\WINDOWS\system32\smss.exe
>>>> Обнаружена маскировка процесса 496 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 524 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 568 C:\WINDOWS\system32\services.exe
>>>> Обнаружена маскировка процесса 580 C:\WINDOWS\system32\lsass.exe
>>>> Обнаружена маскировка процесса 724 C:\WINDOWS\system32\ati2evxx.exe
>>>> Обнаружена маскировка процесса 736 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 832 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 868 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 920 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1016 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1148 aswUpdSv.exe
>>>> Обнаружена маскировка процесса 1196 ashServ.exe
>>>> Обнаружена маскировка процесса 1384 C:\WINDOWS\system32\spoolsv.exe
>>>> Обнаружена маскировка процесса 1492 C:\WINDOWS\system32\Drivers\CDANTSRV.EXE
>>>> Обнаружена маскировка процесса 1524 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1592 mdm.exe
>>>> Обнаружена маскировка процесса 1820 C:\WINDOWS\system32\ati2evxx.exe
>>>> Обнаружена маскировка процесса 1932 C:\WINDOWS\explorer.exe
>>>> Обнаружена маскировка процесса 148 ashMaiSv.exe
>>>> Обнаружена маскировка процесса 200 ashWebSv.exe
>>>> Обнаружена маскировка процесса 484 C:\WINDOWS\system32\alg.exe
>>>> Обнаружена маскировка процесса 112 C:\WINDOWS\system32\WBEM\wmiprvse.exe
>>>> Обнаружена маскировка процесса 908 Amoumain.exe
>>>> Обнаружена маскировка процесса 1580 ashDisp.exe
>>>> Обнаружена маскировка процесса 1632 msmsgs.exe
>>>> Обнаружена маскировка процесса 1688 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 1772 MacroMaker.exe
>>>> Обнаружена маскировка процесса 1760 winlirc.exe
>>>> Обнаружена маскировка процесса 6628 IEXPLORE.EXE
>>>> Обнаружена маскировка процесса 6752 C:\WINDOWS\system32\notepad.exe
>>>> Обнаружена маскировка процесса 6860 IEXPLORE.EXE
>>>> Обнаружена маскировка процесса 6924 C:\WINDOWS\system32\wuauclt.exe
>>>> Обнаружена маскировка процесса 6212 qip.exe
>>>> Обнаружена маскировка процесса 7292 avz.exe[/quote]

Вопросов, собственно, да: а) что бы это могло значить; и б) как это можно побороть?

[quote=psw;205252]В процессе сканирования AVZ выдал предупреждение о маскировке процесса по всем выполняемым процессам, включая свой собственный


Вопросов, собственно, да: а) что бы это могло значить; и б) как это можно побороть?[/quote]

Это очень странно ... я бы советовал:
1. перезагрузиться и повторить опыт
2. Если ситуация повторится, то стоит сделать логи и поискать причину

Причин много - начиная от зловреда и заканчивая проактивкой, которая блокирует работу AVZ

Проактивки там нет, но есть \Windows\System32\alcop.sys, служба которого (alcop - alcop server) не желает удаляться ни под каким видом. Это может быть причиной?

psw- делайте логи- ;) [url]http://www.incodesolutions.com/threats2/System32Rootalcopsys.php[/url]

Да если б это было у меня...
У меня есть:
а) набор логов HJT и AVZ, где такого поведения еще нет
б) скрипт AVZ, который был выполнен
в) набор логов после выполнения скрипта, где такое поведение проявилось и ведет себя устойчиво: сохраняется после перезагрузок и проч.

Олег, планируется что-то делать с этим?
[quote]Справка для этой программы была создана в формате справки Windows, который использовался в предыдущих версиях Windows и не поддерживается в Windows Vista.
[/quote]

[quote=anton_dr;206868]Олег, планируется что-то делать с этим?[/quote]
Для начала посмотрю, действительно ли она не поддерживается на висте. Если да, то несложно перейти на CHM справку, или выпустить отдельный вариант документации в PDF формате. Оба этих решения тривиальны ...

мне не совсем понятна ситуация с ревизором. Он у всех не работает? Если да, то будут ли в ближайшее время исправления?

[quote=tar;207063]мне не совсем понятна ситуация с ревизором. Он у всех не работает? Если да, то будут ли в ближайшее время исправления?[/quote]
Очень скоро выйдет новый релиз, там все исправлено (расчетная дата - эти выходные)

Круто, спасибо.

А куда Олег пропал? В KIS 8 уже ноновведения добавили, а релиза нет.

Что случилось с обновлением базы безопасных? Последнее выходило 16 марта.

Общий привет,
скажите, люди добрые, планируется выпуск версии радактора скриптов для нерусских систем? У меня одни [B]???????????????????[/B] на всех кнопках....

[quote=Rene-gad;211659]Общий привет,
скажите, люди добрые, планируется выпуск версии радактора скриптов для нерусских систем? У меня одни [B]???????????????????[/B] на всех кнопках....[/quote]
Планируется - такая версия выйдет через 60 секунд (т.е. она уже вышла, но на сайте в процессе формирования анонс и ссылки). Через 1-2 минуты можно качать

Можно узнать список изменений?

[quote=Maxim;211679]Можно узнать список изменений?[/quote]
Мультиязычный интерфейс, поддержка всех новых команд скрипт-языка до версии 4.30 включительно

Дайте пожалуйста адрес, где качать последнюю версию, Здесь [url]http://z-oleg.com/secur/avz/download.php[/url] 4.29.09 от 12.12.07 в правилах тоже.

Ты не понял, обновился только редактор скриптов. [url]http://z-oleg.com/avz_se.zip[/url]

[QUOTE=Зайцев Олег;211665]Планируется - такая версия выйдет через 60 секунд [/QUOTE]
Спасибо. Надо было мне месяца на 3 раньше спросить ;)
Хорошо бы еще узнать, что тут от непосвященных сокрыто :>