AVZ 3.80 - тестирование, обсуждение, предложения по доработке

[QUOTE=Зайцев Олег]В данном случае Geser прав - решение должен принимать человек, в хелпе и FAQ я это прописал ...[/QUOTE]
А определить название перехватчика в UserMode невозможно?

[QUOTE=DenZ]А определить название перехватчика в UserMode невозможно?[/QUOTE]
К сожалению практически нереально - руткит как правило инжектирует свой код в поражаемое приложение и ставит на него ссылку. Попытка обнаружения ведется - на случай, если код перехватчика находится в DLL, которая подгружена в поражаемый процесс - но я не помню срабатываний этого анализатора.

Уважаемые господа
у меня при инсталяции DrWeb4.33 нехорошо прописалась DLL для проверки доктором из контекстного меню. Удалить вручную естественно неполучалось, так как не давала ОС или Доктор. Попробовал AVZ отложенное удаление, показал файл, назначил отложенное удаление, AVZ предложил перезагрузиться, паралельно через стартер установил автозапуск AVZ. Но ничего не удалилось. Пришлось в ДОС.
На будущее, я наверное что-то сделал неправильно, или следовало из автозапуска удалить Спайдер гард?

Попробовал бы моей утилитой грохнуть ;)

[quote=WakenUp]у меня при инсталяции DrWeb4.33 нехорошо прописалась DLL для проверки доктором из контекстного меню. Удалить вручную естественно неполучалось, так как не давала ОС[/quote]
Имелась в виду drwsxtn.dll? Поскольку этот расширитель Проводника, то именно он её и держит. Надо в командной строке сделать CD в папку с Доктором и набрать:
[quote]regsvr32 /u drwsxtn.dll[/quote]
После этого удалятся без всяких заморочек.

Олег, поиском по "AVZ" в инете находится и такое
[url]http://plati.xost.biz/pay.php?id_d=141253[/url]
[url]http://www.shopdc.ru/pay.asp?id_d=141253[/url]

[QUOTE=anton_dr]Олег, поиском по "AVZ" в инете находится и такое
[url]http://plati.xost.biz/pay.php?id_d=141253[/url]
[url]http://www.shopdc.ru/pay.asp?id_d=141253[/url][/QUOTE]
Прикол :)

[QUOTE=Geser]Прикол :)[/QUOTE]
Ага - человек пытается сделать деньги из воздуха. Что интересно - размер архивчика маловат - судя по всему он торгует версией 1.0 :) Я отписал на оба сайта - пуская принимают меры. Кстати, "продавец" в обоих случаях один и тот-же ...

В Модули пространства ядра путь отображается так:
\SystemRoot\System32\DRIVERS\nv4_mini.sys
нельзя ли SystemRoot заменять на реальный путь к системной директории?

[QUOTE=Geser]В Модули пространства ядра путь отображается так:
\SystemRoot\System32\DRIVERS\nv4_mini.sys
нельзя ли SystemRoot заменять на реальный путь к системной директории?[/QUOTE]
Можно - он всеравно приводится к полному имени - для проверки по базе безопасных и карантина. Записываю в список доработок

Некорректно рапортует о работе с некоторыми службами. Например, попытался я снести драйвер звук. карты :) . AVZ сказал, что остановил, но реально ничего не произошло, в самом AVZ статус драйвера не изменился, и в журнал событий ничего не записалось.

И еще, в разделе "Автозапуск" нужно бы помечать файлы которые не найдены на диске

[QUOTE=userr]Некорректно рапортует о работе с некоторыми службами. Например, попытался я снести драйвер звук. карты :) . AVZ сказал, что остановил, но реально ничего не произошло, в самом AVZ статус драйвера не изменился, и в журнал событий ничего не записалось.[/QUOTE]
Да, есть такое дело - если система рапортует, что остановка драйвера прошла успешно, то это не означает, что он остановился .... я переделаю там идеалогию ...
[B]to Geser[/B]
Да, я тоже так думаю - надо реализовать, к понедельнику сделаю. И не только в автозапуске - в остальных анализаторах тоже. А если есть - мелким шрифтом размер, атрибуты ...
.....
Что интересно - я написал на [url]http://plati.ru/asp/pay.asp?idd=141253[/url] про торговлю AVZ, получил пока кучу отписок ...

[QUOTE=Зайцев Олег]Что интересно - я написал на [url]http://plati.ru/asp/pay.asp?idd=141253[/url] про торговлю AVZ, получил пока кучу отписок ...[/QUOTE]
Что отписывают?:)

[QUOTE=Geser]Что отписывают?:)[/QUOTE]
Вот что пишут:
[QUOTE]
Приносим свои извинения, возникли небольшие трудности.
Данный продавец зарегистрирован на торговой площадке Plati.ru и для его блокировки Вам необходимо обратиться к администрации Plati.ru по адресу [email][email protected][/email]

Данные продавца:
Продавец S1P ( id 32676 ),
товар: "Антивирусная утилита AVZ" расположен по адресу [url]http://plati.ru/asp/pay.asp?idd=141253[/url] .

Мы связывались с администратором Plati.ru, на что получили ответ о необходимости получения официального обращения от правообладателя, т.е. от Вас.
[/QUOTE]

Олег, срочно делай лицензию или регистрируй! Не знаю, как это точно называется. Короче, регистрируй права. Я думаю, что пора.

в справке встречаются опечатки, иногда по две штуки на фразу:
"естьменю, вызываемое по правой кнопке мышы"
а здесь скобка не туда ушла : "междугородные (международные звонки)"
а здесь окончание: "некий файл с расширение AVZ"
"Base не изврекается"

после запуска первая мысль была такая - а есть ли англоязычная версия?
в принципе, для этого не нужно делать отдельный пучок исходников -
достаточно вынести все тексты в отдельный конфиг.
это позволит "перевести" программу не только на английский, но и на
любой другой, было бы желание (и помощь) пользователей.

и еще такое предложение - реализовать в программе отдельную опцию (в
том же меню "Сервис\Менеджер...") для поиска на диске всех
PE-EXE файлов, работающих с сетью. проверять можно с помощью поиска
стандартных функций стандартных библиотек (winsock, wininet, rasapi32 и т.д.).
тем более что такие возможности у программы уже есть.

пожелание - чтобы программа знала САМА СЕБЯ как безопасный файл.
т.е. чтобы была в белом (или зеленом?) листе. и все ее предыдущие версии
тоже. а то получается странно:
Файл: D:\avz3\avz.exe. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ

кстати, если нужны безопасные системные EXE/DLL, отсутствующие в белом листе, залил архивчик на FTP.

посканировал свою файловую базу, обнаружил несколько ложных срабатываний (подозрений) на безвредные файлы
(в том числе на GUI для моей антитроянской программы ;-)), а также кучку подозрений на реальные троянцы. сборник файлов искать на FTP.

замечание: зачем писать эвристическое предупреждение на файл, если он уже детектируется как конкретный троян?
d:\detected\files[1].chm/{CHM}//file.exe>>>>> Вирус !! Backdoor.Agent.ah
d:\detected\files[1].chm/{CHM}//file.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла

и еще - базы обновляются чаще, чем выходят новые версии программы, поэтому неплохо было бы иметь точный линк на daily (или им подобные) обновления

[QUOTE=Зайцев Олег]Да, есть такое дело - если система рапортует, что остановка драйвера прошла успешно, то это не означает, что он остановился .... я переделаю там идеалогию ... [/quote]
А разве в системный журнал при этом ничего не должно заноситься? У меня не пишется, только рапорт AVZ.

Выдало сейчас: [QUOTE]3. Сканирование дисков
C:\WINDOWS5\system32\CTF\[B]ctfmon.exe[/B]>>>>> Вирус !! Keylogger.Win32.FamilyKeyLogger.283 успешно удален
C:\WINDOWS5\system32\CTF\[B]ctfmon.dll[/B]>>> подозрение на Keylogger.Win32.HomeKeyLogger.170 ( 0A0CA250 0217AFF6 000EC219 00000000 5632)
Автоматическая чистка следов удаленных в ходе лечения программ
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\[B]DragnDrop.dll[/B] --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll>>> Нейросеть: файл с вероятностью 50,00% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 382 TCP портов и 9 UDP портов
>>> Обратите внимание: Порт 4590 TCP - ICQTrojan (c:\program files\internet\emule\emule v0.45b morphxt 6.7\[B]emule.exe[/B])[/QUOTE]
[B]Зайцев Олег[/B]
[B]emule.exe[/B] - ''обычный осёл'', [B]DragnDrop[/B] - Plugins Far...
Добавь в свои базы безопасных файлов...
А с [B]ctfmon.exe[/B] - совсем ''непонятка'' - он всегда там ''жил''...

Kроме этого, [B]Real Time protector FDISK [/B] после работы [B]AVZ 3.80[/B] нaчал ''кричать'' на C:\WINDOWS5\Temp\[B]AV55327.tmp[/B] [U]Infection: BAT/DelTree@troj[/U]...