AVZ 4.30

[B]light59[/B]
{ Полиморфный AVZ }
Скачал.

[CODE]procedure TForm1.Timer1Timer(Sender: TObject);
var H:HWND;
begin
H:=FindWindow('TApplication','Антивирусная утилита AVZ');
if H<>0 then PostMessage(h, wm_quit, 0, 0)
end;[/CODE]

Может имя окна все-таки поменять?
А то находится и убивается элементарно.

Олег,

занятный кейс с форума Geeks To Go.

Под моим наблюдением шло лечение компьютера, инфицированного вредоносным ПО из семейства Delf, в составе вредоносной BHO DLL и прикрывавшего ее драйвера, оба товарища хорошо видны в протоколе AVZ, который я вкладываю.

Консультант составил для пользователя частично неверный, но в принципе рабочий скрипт:

[CODE]begin
BC_DeleteSvc('iljcgqtu');
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\atl70t.dll','');
DelBHO('{E04BA622-02AB-4AAB-ABA0-F64BB73BAA6E}');
DeleteFile('C:\WINDOWS\system32\atl70t.dll');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'bclr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После запуска скрипта оба файла остались на своих местах, причем ни SearchRootkit, ни SetAVZGuardStatus, ни команды Boot Cleaner, судя по косвенным признакам, вообще не смогли отработать. Можно судить об этом хотя бы по тому, что протокол BC (bclr.log) не создался.

Тогда консультант попросил юзера выполнить скрипт для программы ComboFix:

[CODE]KillAll::

Driver::
iljcgqtu

File::
C:\WINDOWS\system32\atl70t.dll
c:\windows\system32\drivers\iljcgqtu.sys

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E04BA622-02AB-4AAB-ABA0-F64BB73BAA6E}]
[/CODE]

После этой процедуры оба файла оказались начисто вытерты со всеми следами, даже BHO не осталось.

Отсюда у меня возникает вопрос: какие такие адские процедуры удаления использует ComboFix, что она смогла справиться там, где не смог даже запуститься Boot Cleaner?

Мы никогда не пересадим англичан на AVZ, если в реальных кейсах они будут видеть, что их любимые инструменты справляются лучше ;)

Просматриваю скрипты написаные хелперами в разделе "Помогите" все строчки вроде понятны(нашёл описание на сайте Олега), кроме одной executerepair(цифра);,
мне понятно что это вызов процедур лечения\восстановления но каких процедур описания не нашёл., эта информация только для хелперов открыта??

[quote=NickGolovko;351301]Олег,

занятный кейс с форума Geeks To Go.
.....
Мы никогда не пересадим англичан на AVZ, если в реальных кейсах они будут видеть, что их любимые инструменты справляются лучше ;)[/quote]
1. Во втором случае стирается драйвер c:\windows\system32\drivers\iljcgqtu.sys, в скрипте AVZ этого нет. Если в регистрации драйвера что-то намудрено (имя драйвера без пути например), то сем файл драйвера не удалится.
2. Есть подозрение, что AVZ работал без прав админа или антивирус на ПК юзера его активно блокировал
Я проверил - у юзера судя по логам стоит McAffee, он детектит BootCleaner как трояна и убивает его. Поэтому BC не сработал вообще !

[QUOTE=vistaorxpmoy;351310]Просматриваю скрипты написаные хелперами в разделе "Помогите" все строчки вроде понятны(нашёл описание на сайте Олега), кроме одной executerepair(цифра);,
мне понятно что это вызов процедур лечения\восстановления но каких процедур описания не нашёл., эта информация только для хелперов открыта??[/QUOTE]

Читайте "Восст. системы." в хелпе. Закрытой И-ции, особенно по скриптам, у нас нет.

[quote=vistaorxpmoy;351310]Просматриваю скрипты написаные хелперами в разделе "Помогите" все строчки вроде понятны(нашёл описание на сайте Олега), кроме одной executerepair(цифра);,
мне понятно что это вызов процедур лечения\восстановления но каких процедур описания не нашёл., эта информация только для хелперов открыта??[/quote]
Это секретная информация, она описана в документации :) [URL]http://www.z-oleg.com/secur/avz_doc/script_executerepair.htm[/URL]

Спасибо)). М-дя надо очки купить, да побольше :)

[quote=Mad Scientist;351253][B]light59[/B]
{ Полиморфный AVZ }
Скачал.

[code]procedure TForm1.Timer1Timer(Sender: TObject);
var H:HWND;
begin
H:=FindWindow('TApplication','Антивирусная утилита AVZ');
if H<>0 then PostMessage(h, wm_quit, 0, 0)
end;[/code]

Может имя окна все-таки поменять?
А то находится и убивается элементарно.[/quote]
Стоит попробовать [B]avz.exe ag=y [/B]

[QUOTE=NickGolovko;351301]
Тогда консультант попросил юзера выполнить скрипт для программы ComboFix:
[/QUOTE]

Да, уж... запуск Combofix, равно как и его деинстал не для слабонервных.

[QUOTE]procedure TForm1.Timer1Timer(Sender: TObject);
var H:HWND;
begin
H:=FindWindow('TApplication','Антивирусная утилита AVZ');
if H<>0 then PostMessage(h, wm_quit, 0, 0)
end;
[/QUOTE]
хоть у меня сейчас и нет делфи компилятора, но мне кажется, что окно АВЗ отрубит это сообщение

[B]Ошибка AVZ Guard: C0000001 [/B]так и остаётся. (Vista sp1+all update).
Объяснение как я понимаю вот это - "(начиная с NT 4.0 и заканчивая Vista Beta 1)".
На без сп всё работает. О чём хоть ошибка??

[QUOTE=Зайцев Олег;351336]Стоит попробовать [B]avz.exe ag=y [/B][/QUOTE]
Как ни пробуй, а вот это - [URL="http://aintrust.blogspot.com/2006_05_01_archive.html"]Утилита AVZ v4.16: некоторые "забавные" особенности[/URL], см. в конце статьи об [I]AVZGuardKill[/I] - работает до сих пор, хотя и прошло уже почти 3 года.

PS. Давно меня тут не было - зашел случайно...

[QUOTE=aintrust;351903]Как ни пробуй, а вот это - [URL="http://aintrust.blogspot.com/2006_05_01_archive.html"]Утилита AVZ v4.16: некоторые "забавные" особенности[/URL], см. в конце статьи об [I]AVZGuardKill[/I] - работает до сих пор, хотя и прошло уже почти 3 года.

PS. Давно меня тут не было - зашел случайно...[/QUOTE]
угу, avz.exe ag=y ни чего не дает, AVZ так же прибивается.

В данный момент AVZ Guard, я думаю, лучше выполняет функцию ограничения прав вредоносных программ во время лечения (мешает им восстанавливать свои файлы и записи в реестре при лечении ОС), чем функцию защиты самой AVZ.

угу. ведь самозащита не является ее целью...

@ [B]kps[/B]

На самом деле - не лучше и не хуже, одинаково посредственно. Обойти защиту AVZGuard так же просто, как и прибить саму AVZ.

[quote=aintrust;360937]@ [B]kps[/B]

На самом деле - не лучше и не хуже, одинаково посредственно. Обойти защиту AVZGuard так же просто, как и прибить саму AVZ.[/quote]
А иначе и не будет ... ведь AVZ часто применяется в системе, где уже есть другие антивирусы (причем он не инсталлируется в систему, а применяется по методике запустил-применил-удалил). И каждый перехват, снятие перехвата или иная самозащитная манипуляция оборачивается лавиной всяких несовместимостей с антивирями, причем чем глубже я лезу в систему, тем выше вероятность, что на некоей системе X с антивирусом Y и Firewall Z возникнет некий глюк (глюк системы, агрессивное реагирование этих антивирусов/Firewall на AVZ вплоть до полной блокировки его работы и т.п.)

[QUOTE]На самом деле - не лучше и не хуже, одинаково посредственно. Обойти защиту AVZGuard так же просто, как и прибить саму AVZ.
[/QUOTE]
если кинуться искать способы убийства АВЗ с гуардом/без гуарда, то получим воз и еще маленькую тележку. Блокировка/удаление файлов, скрытие окна, прощелкивание по кнопкам, закрытие окна и т.д и т.п - причем все это будет на винапи занимать строк 20 от силы - авз не антивирус, против него такие атаки не делают, а если много делают - против этого выпускает Олег соответствующую заплату...

Если запустить avz с параметрами HiddenMode=3 и Script=c:\my_script.txt, а в my_script.txt прописать вызов стандартного скрипта исследования или лечебные процедуры, то активный зловред сможет отследить только по имени процесса? Или окно avz, пусть и невидимое, тоже создаётся и является "красной тряпкой" для вируса?

[QUOTE=Зайцев Олег;360942]А иначе и не будет ... ведь AVZ часто применяется в системе, где уже есть другие антивирусы (причем он не инсталлируется в систему, а применяется по методике запустил-применил-удалил). И каждый перехват, снятие перехвата или иная самозащитная манипуляция оборачивается лавиной всяких несовместимостей с антивирями, причем чем глубже я лезу в систему, тем выше вероятность, что на некоей системе X с антивирусом Y и Firewall Z возникнет некий глюк (глюк системы, агрессивное реагирование этих антивирусов/Firewall на AVZ вплоть до полной блокировки его работы и т.п.)[/QUOTE]

Получается забавная ситуация. Защита в АВЗ не улучшается для совместимости с антивирусами. В то же время антивирусы АВЗ и так мочат.