По поводу плагина AVZ - описанное в нем не баг, а фича (если перезапустить TheBAT - база обновится). Я повесил проверку в плагине, что если база загружалась более 4 часов назад, то перезагрузить ее при очередном запросе на проверку файла.
Printable View
По поводу плагина AVZ - описанное в нем не баг, а фича (если перезапустить TheBAT - база обновится). Я повесил проверку в плагине, что если база загружалась более 4 часов назад, то перезагрузить ее при очередном запросе на проверку файла.
Можно сказать и фича :)
А где взять новую версию плагина?
[QUOTE=Nick222;436654]Можно сказать и фича :)
А где взять новую версию плагина?[/QUOTE]
Через некоторое время выйдет вместе с AVZ ...
"Что немцу баг, то русскому фича" :)
Я в процессе разработки своего быдло-эвристика чуть было не допустил досадную оплошность. Решил проверить, как сделано у других. Выявил интересный факт.
Если в Services прописан драйвер без указания пути, винда ищет файл драйвера в drivers, тогда как анализатор AVZ в System32. Таким образом, устанавливаем драйвер "Redizko" , файл redizko.sys находится в drivers. Если поместить какой-то файл из базы правильных в System32, переименовать его в redizko.sys, то
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
Ой, не обращайте внимания. Если вы во время написания поста попробуете запустить проверку (AVZ), то получите , вероятно, то же самое :) . Во всяком случае, у меня в Опере так и вышло.
Так вот, "Диспетчер служб и драйверов" покажет, что есть некий драйвер, Redizko.sys, обнаружен в базе безопасных и стартует из System32.
[QUOTE='antanta;436833']Ой, не обращайте внимания. Если вы во время написания поста попробуете запустить проверку (AVZ), то получите , вероятно, то же самое[/QUOTE]
А это описано в хелпе.
Спасибо. Кстати, раз уж зашел разговор про хелп, для некоторых функций реестра не указан тип возвращаемого значения. Хотя, ежу понятно, булево. И не говорите мне, что это мелочи. Я и сам это знаю. Про random я уже спрашивал и получил ответ. Только в хелпе я random не нашел. Возникает извечный вопрос: "Где взять документацию по недокументированным функциям?" :)
Вчера вылетела мышь 4.2.9.1, может поправили?
The Bat! 4.2.9
23.07.2009
Возможности программы были расширены, вот краткая сводка улучшений:
...
[-] (#0007549) Теперь антивирусные модули расширения работают всегда
...
[B]AStr[/B]
Не 4.2.9.1, а 4.2.9.0 - и речь идёт о том, что они починили полностью сломанный механизм антивирусных модулей - до этого даже модуль от Аваст не работал...
[QUOTE=Nick222;436993][B]AStr[/B]
Не 4.2.9.1, а 4.2.9.0 - и речь идёт о том, что они починили полностью сломанный механизм антивирусных модулей - до этого даже модуль от Аваст не работал...[/QUOTE]
Все же 4.2.9.1 - если надо могу скриншот кинуть. Сейчас подцепил плагин, посмотрю что будет
[B]AStr[/B]
Лучше ссылку дайте - откуда взяли.
Официального объявления не было, а неофициальные беты у Ритов качать очень опасно.
Если речь о плагине от АВЗ - то нужна неделя непрерывной работы без выключения компьютера - чтобы эффект проявился.
[B]Nick222[/B],
[url]http://ritlabs.com/ru/products/thebat/download.php[/url]
Ставите русскую 4.2.9 - получаете версию исполняемого файла 4.2.9.1.
Последняя бета - 4.2.9.2
[B]Зайцев Олег[/B],
При проверке синтаксиса следующего скрипта:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('avgntflt');
StopService('avgio');
QuarantineFile('D:\WINDOWS\system32\drivers\mlsiln.sys','');
QuarantineFile('D:\WINDOWS\System32\win32k.sys','');
QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys');
DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('avgntflt');
BC_DeleteSvc('avgio');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Редактор скриптов выкидывает ошибку:
[QUOTE]Ошибка: "Undeclared identifier: 'SearchRootkit'"[/QUOTE]
При этом проверка синтаксиса в самом AVZ работает нормально.
To Gfj:
Редактор скриптов ver 4.30 - Ошибок не обнаружено
To Nick222:
Я машину неделями не перезагружаю, посмотрю, что будет
Ага, понял, была ошибка, связанная с повреждённым файлом в Base. Теперь всё работает, спасибо.
может уже было, что-то частенько не срабатывает [CODE]DeleteService();[/CODE]
с чем-то связано? может kb быть исправлено в след. версиях? как быть?
надоело писать [CODE]sc delete qwerty[/CODE]
Лучше удалять через BC_DeleteSvc.
[QUOTE='Serrrgio;437365']с чем-то связано? может kb быть исправлено в след. версиях? как быть?
надоело писать [/QUOTE]
Может быть уже пора прочитать [URL="http://www.z-oleg.com/secur/avz_doc/"]документацию AVZ[/URL]?
[QUOTE=AStr;437034]Все же 4.2.9.1 - если надо могу скриншот кинуть. Сейчас подцепил плагин, посмотрю что будет[/QUOTE]
И вот что вчера стало:
27.07.2009, 16:14:00: ANTIVIRUS - Проверка входящего письма на наличие вирусов
!27.07.2009, 16:14:00: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
27.07.2009, 16:31:25: ANTIVIRUS - Проверка на вирусы исходящего письма от [email]astr@*****.ru[/email], [email][email protected][/email] к tin, размер: 5178, создан: 27 июля 2009 г. 15:35:30, тема: "Курсы валют ЦБ России"
!27.07.2009, 16:31:25: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
Снес.
При апдейте АВЗ не всякое обновление даёт такую картину - но явно замена [I]какого-то из файлов[/I] вызывает именно данный эффект.
И ещё письма при этом отправить нельзя - если включена галка "Проверять исходящие письма на вирусы" - просто не даёт отправить, даже написанное письмо положить в папку Исходящие не разрешает.
Добрый день, Олег. Я регулярно посещаю сайт virusinfo. В последнее время обнаружил, что хелперы для удаления ключей реестра, сервисов (служб) и файлов [URL="http://virusinfo.info/showpost.php?p=439782&postcount=4"]зачастую используют GMER[/URL], а не AVZ. У меня вопрос: получается, что AVZ не всегда справляется с этим? Будет ли улучшен механизм удаления в грядущей версии?
+Проблема AVZ с именами файлов/папок, в которых есть пробелы.
Ну и в качестве бредовой идеи, может быть стоит ввести в программе режим карантина папки System32, DRIVERS и т.п. для предотвращения создания новых исполняемых файлов (+.SYS; .DLL), чтобы этот режим действовал с момента начала загрузки системы и продолжал работать при последующих перезагрузках компьютера (ограничить их кол-во 5-10 штуками, как опция)? :>
Желаю удачи в ваших трудах.
[QUOTE=antanta;436833]"Что немцу баг, то русскому фича" :)
Я в процессе разработки своего быдло-эвристика чуть было не допустил досадную оплошность. Решил проверить, как сделано у других. Выявил интересный факт.
Если в Services прописан драйвер без указания пути, винда ищет файл драйвера в drivers, тогда как анализатор AVZ в System32. Таким образом, устанавливаем драйвер "Redizko" , файл redizko.sys находится в drivers. Если поместить какой-то файл из базы правильных в System32, переименовать его в redizko.sys, то
Так вот, "Диспетчер служб и драйверов" покажет, что есть некий драйвер, Redizko.sys, обнаружен в базе безопасных и стартует из System32.[/QUOTE]
Интересно, это будет исправлено? А то тишина подозрительная.
Сегодня еще обнаружил "фичу". На этот раз уже не умозрительно, а в живой природе.
В этой ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell выглядело примерно так:
Explorer.exe,Redizko.exe,Exprorer.Exe
В итоге в менеджере автозапуска соответствующая срока зеленела,
эксплоер при заргузке вылетал с ошибкой, но запускался повторно.
При попытке воспроизвести это дело в лабораторных условиях тестовый файл запускался, а Explorer отказывался стартовать. Последнее устраняется временным возвращением указанного ключа в штатное состояние.
Шепните "кибердемону" про эти дела :)
[QUOTE='Зайцев Олег;391090']Скорее всего это драйвер AVZ, McAfee его всю жизнь детектировал [/QUOTE]
А NOD32 давно стал детектировать драйвер BootCleaner?
[url]http://www.virustotal.com/ru/analisis/5b8e77bbc173fd1e6c2b3073d9393bab85f29a1bf615277c88b640f7d3cbe9da-1250242370[/url]
Навеяно темой [url]http://virusinfo.info/showthread.php?t=52060[/url]
[QUOTE=AndreyKa;448685]А NOD32 давно стал детектировать драйвер BootCleaner?
[URL]http://www.virustotal.com/ru/analisis/5b8e77bbc173fd1e6c2b3073d9393bab85f29a1bf615277c88b640f7d3cbe9da-1250242370[/URL]
Навеяно темой [URL]http://virusinfo.info/showthread.php?t=52060[/URL][/QUOTE]
Он очень давно его детектит ...
Олег, при обновлении и выполнении стандартных скриптов, в случае запуска из папки, доступной только для чтения, выводятся стандартные сообщения об успешном выполнении и обновлении. Но фактически логов мы не видим и базы старые. Хотелось бы хотя бы стандартное окошко об ошибке записи на диск.
Не подскажите в чем проблема?...Как хочу выполнить 3 скрипт сбора карантина/инфы вконце появляется такое сообщение, после чего АВЗ просто закрывается. Логи процесса не могу сделать.
Скрины
[url]http://ipicture.ru/Gallery/Viewfull/22362447.html[/url]
[url]http://ipicture.ru/Gallery/Viewfull/22362460.html[/url]
Vista? AVZ запускается с правами администратора?
Нет,ХР. Учетная запись администраторская.
[QUOTE='Nexus;449885']Как хочу выполнить 3 скрипт сбора карантина/инфы вконце появляется такое сообщение[/QUOTE]Что-то подобное тут было [url]http://virusinfo.info/showthread.php?t=52148[/url]
Я предложил диск проверить, ответа пока нет.
[QUOTE=AndreyKa;450045]Что-то подобное тут было [url]http://virusinfo.info/showthread.php?t=52148[/url]
Я предложил диск проверить, ответа пока нет.[/QUOTE]
Действительно, помогло :P В полученном логе была ошибка, затем проверил диск "Автоматически восстанавливать поврежденные сектора", после чего АВЗ работает нормально :)
[QUOTE=Nexus;450248]Действительно, помогло :P В полученном логе была ошибка, затем проверил диск "Автоматически восстанавливать поврежденные сектора", после чего АВЗ работает нормально :)[/QUOTE]
Что и предполагалось - т.е. сбой в системе, а не в AVZ, с такими глюками сложно бороться, помогает только ChkDsk
Итого - для крупных корпоративщиков вышла корпоративная Windows 7 Professional, и она она достигла энергетики (нормальный официальный релиз, с нормальными ключами и т.п.). Как следствие, этот релиз был поставлен и изучен, последствия - апдейт баз AVZ, уже размещенный на серверах обновления. Этот апдейт дает следующее:
1. AVZ Guard работает на Windows 7
2. Устанены сбои в антирутките Kernel Mode, которые могли вызвать BSOD
3. Скрипты 2,3,4 работают нормально и без сбоев
Известные проблемы, которые не устранены апдейтом и будут устранены в 4.32:
1. Глюк в антикейлоггере, вызывает сбой в AVZ. поправить его не обновляя AVZ нельзя, потому в скриптах 2,3,4 сделано адаптивное отключение этой фичи до устранения проблем
2. Глюк антируткита UserMode. В скрипте 3 выключена нейтрализация UserMode перехватов
3. Глюк с отображением имени процесса для открытых портов и соединений - устранено в 4.32
Полиморфная сборка для хелперов выйдет сегодня вечером
А проблема с подгрузкой обновлённых баз для плагина для Бата будет решена в 4.32 ?
[QUOTE=Nick222;451079]А проблема с подгрузкой обновлённых баз для плагина для Бата будет решена в 4.32 ?[/QUOTE]
Да, она там уже решена. Решение об этом производится при проверке каждого письма путем анализа, как давно перезагружались базы. Если более суток назад - будет сделана их перезагрузка
Спасибо :)
Тогда как и где можно скачать 4.32 - или она пока недоступна?
[QUOTE='Зайцев Олег;451056']и будут устранены в 4.23:[/QUOTE]
Назад, в прошлое)))
Поправил
Есть у меня скрипт, проверяющий каждый компьютер в сети. Для запуска AVZ с этим скриптом использовал cmd-файл и планировщик. До вчерашнего дня всё работало нормально. Теперь же при запуске батника AVZ выдаёт ошибку "Out of system resources", скриншот прилагаю. Загружает ли AVZ скрипт, не знаю, но выполнять точно не начинает - добавлял в начале показ текстовых сообщений. Если же запустить AVZ без всяких параметров, и запустить скрипт через "Файл - выполнить скрипт", то всё работает нормально. Операционная система - Windows XP Home Edition SP3.
set D_AVZ=%~dp0.. в итоге путь запуска АВЗ <путь запуска скрипта>\..\avz.exe,
по ошибке: ругается на HiddenMode=1, кстати только на обновленной программе, на AVZ из старого архива данная проблема отсутствует.
[QUOTE=NickM;451555]set D_AVZ=%~dp0.. в итоге путь запуска АВЗ <путь запуска скрипта>\..\avz.exe[/QUOTE]
Так и задумано, скрипты лежат в подпапке scripts каталога с AVZ
[QUOTE]по ошибке: ругается на HiddenMode=1, кстати только на обновленной программе, на AVZ из старого архива данная проблема отсутствует.[/QUOTE]Оказалось, что ругается и на HiddenMode=2. Режимы 0 и 3 работают нормально.
Не однократно сталкивался со случаями, когда пользователи пытаются добавить в карантин файл, внесенный в базу безопасных файлов. Естественно, туда ничего не попадает и они начинают подозревать, что у них на компьютере всё совсем плохо и пакуют этот файл в архив вручную.
Олег, в связи с этим, просьба, добавь вывод в протокол о том, что файл в базе чистых файлов.
[QUOTE=NickM;451555]set D_AVZ=%~dp0.. в итоге путь запуска АВЗ <путь запуска скрипта>\..\avz.exe,
по ошибке: ругается на HiddenMode=1, кстати только на обновленной программе, на AVZ из старого архива данная проблема отсутствует.[/QUOTE]
Базы стали слишком большими ... в 4.32 это поправлено, ввиду такого глюка придется формировать. Выход 4.32 назначен на эту неделю