Вышла новая версия антивирусной утилиты AVZ - 4.41

[quote="Зайцев Олег;1088098"]3. Нужна командная строка запуска, посмотрю[/quote]
[CODE]RunProgram="\"%%S\\TestAVZ\\avz.exe\" Script=test.txt HiddenMode=0"[/CODE]
При запуске батником ситуацию воспроизвести мне не удалось, поэтому прикрепил само-распаковывающий архив.

При запуске батника на 7 х64 следующего содержания
[CODE]avz.exe HiddenMode=0 Script=test.txt[/CODE]
Просто двойным кликом AVZ запускается и работает нормально, при запуске ПКМ от имени админа, не видно чтобы AVZ вообще запустился :?.
Разумеется все файлы лежат рядом с AVZ.

[QUOTE=Зайцев Олег;1087823]2. Глюк парсера (там лишний проход был). Поправил, сейчас должно работать нормально[/QUOTE]
Угу, подтверждаю.

[url]http://z-oleg.com/secur/avz_doc/index.html?script_sleepms.htm[/url]
Опечатка и в онлайн версии и в CHM файле

procedure SleepM[B][SIZE=3]S[/SIZE][/B](AInterval : integer);


Пример:

[CODE]begin
AddToLog('Выполняем задержку на 300 [U][B]милли[/B]секунд[/U]');
SleepM[B][SIZE=3]D[/SIZE][/B](300);
AddToLog('300 [U]секунд[/U] прошли, продолжаем работу');
end. [/CODE]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[quote="Зайцев Олег;1088098"]1. разрывать не должен. Там и защита от разрыва стандартных путей есть, и корректно оформленный путь (кавычки и т.п.) должен распознаваться как надо. А вот если папки нет на диске, то разрыв может быть (парсер то не понимает, что этого каталога просто нет)[/quote]
Вот лог сделанный версией утилиты AVZ версии 4.42.144 private build
Видно, что пути разорваны
[spoiler][IMG]http://i33.fastpic.ru/big/2014/0206/0a/394535872822fa644ca2bcde04eff10a.png[/IMG][/spoiler]
При этом папка и файл
[CODE]C:\Program Files (x86)\AnVir Task Manager\anvir.exe[/CODE]
в системе присутствует.
А путь к [CODE]C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[/CODE]
как я понимаю по XML логу оформлен в кавычки, по крайней мере в XML логе они дважды (кстати это нормально, что они дважды?)
[html]<ITEM File="C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" CheckResult="-1" Enabled="0" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows\CurrentVersion\Run-" X3="SunJavaUpdateSched" X4=""C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"" Is64="0"/>[/html]
[CODE]X4="[COLOR="#0000FF"]"[/COLOR]C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[COLOR="#0000FF"]"[/COLOR]"[/CODE]

Также эта версия разбила строку в секции автозапуска
[CODE]C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe[/CODE]
Хотя обычная версия (не полиморфная) вывела её нормально.

UPD/ из [URL="http://www.cyberforum.ru/viruses/thread1089409-page2.html#post5747437"]логов этой темы.[/URL]

[QUOTE=regist;1088139]
Опечатка и в онлайн версии и в CHM файле
[/QUOTE]
Исправил, при очередном апдейте обнвится
[QUOTE=regist;1088139]
X4=""C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe""
[/QUOTE]
Если это обычная кавычка - то она конечно должна быть заменена по правилам XML. Можно экспортнуть этот ключ, хочу посмотреть, в чем там дело

Извиняюсь, забыл вставить [URL="http://www.cyberforum.ru/viruses/thread1089409-page2.html#post5747437"]ссылку на тему откуда логи[/URL].
[quote="Зайцев Олег;1088242"]Если это обычная кавычка - то она конечно должна быть заменена по правилам XML. Можно экспортнуть этот ключ, хочу посмотреть, в чем там дело[/quote]
Это из секции планировщика задач, можно попросить чтобы юзер прикрепил задание.

[QUOTE=regist;1088258]Извиняюсь, забыл вставить [URL="http://www.cyberforum.ru/viruses/thread1089409-page2.html#post5747437"]ссылку на тему откуда логи[/URL].

Это из секции планировщика задач, можно попросить чтобы юзер прикрепил задание.[/QUOTE]

Если не трудно ... дело в том, что в коде AVZ значения параметров X1-X4 влоб кодируется перед помещением в XML лог (т.е. [B]"[/B] должна превратиться в [B]&quot;[/B] без вариантов)

Олег, а "Adware/Toolbar/Browser hijacker Remowal" в "Мастере поиска и устранения проблем" полиморфа - это пока только stub?

[QUOTE=Vvvyg;1088428]Олег, а "Adware/Toolbar/Browser hijacker Remowal" в "Мастере поиска и устранения проблем" полиморфа - это пока только stub?[/QUOTE]
Это заготовка. Суть этого визарда - оказание помощи в удалении всяких немалварных приблуд, типа тулбаров, разных редиреторов и т.п. (а для лога такой визард может делать акцент, что у юзера установлены какие-то характерные Adware или дополнения). Если есть мысли, какие подобные компоненты включить в этот визард - включу приоритетно. Более того, есть мысль в AVZ сделать вывод всех аддонов для популярных браузеров в лог - для решения сложно детектируемых проблем, когда скажем ничего злобного вроде нет, а глюки - есть.

[QUOTE=Зайцев Олег;1088442]Если есть мысли, какие подобные компоненты включить в этот визард - включу приоритетно.[/QUOTE]
Мыслей много, надо упорядочить...

[QUOTE=Зайцев Олег;1088442]Более того, есть мысль в AVZ сделать вывод всех аддонов для популярных браузеров в лог - для решения сложно детектируемых проблем, когда скажем ничего злобного вроде нет, а глюки - есть.[/QUOTE]
:yess: Давно пора, а то IE давно уже мало кто использует, по крайней мере, среди клиентов "Помогите" ;) Приходится то, что не нашёл MBAM и AdwCleaner, подчищать, например, OTL. Кстати, Opera относится к "популярным браузерам"? По ней совсем плохо, практически нет утилит, чтобы увидеть её расширения и стартовые страницы...

1) По поводу двойных (не экранированных) кавычек вот ещё [URL="http://rghost.ru/52260572"]один лог[/URL] взят [URL="http://www.cyberforum.ru/viruses/thread1091219.html"]отсюда[/URL]. Смотрим на CmdLine у AVZ
[HTML]<ITEM PID="424" File="c:\avz.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine=""C:\avz.exe" " Size="9290240" Attr="rsAh" CreateDate="07.02.2014 14:46:58" ChangeDate="07.02.2014 14:48:58" MD5="90030F6396891FE65737B4697D92FD25" IsPE="1"[/HTML]

2) Протестировал у себя, у меня нормально экранируется [QUOTE]CmdLine="&quot;[/QUOTE], но заметил другую вещь ("NUL" символ) из-за этого также происходит ошибка парсинга XML лога.
[IMG]http://i58.fastpic.ru/big/2014/0207/e2/3203336f3d6528261b2a365afdb6f7e2.png[/IMG]

мой лог [URL="http://rghost.ru/52260691"]тут[/URL].

3) DeleteFileMask
[QUOTE]Выполняет поиск и удаление файлов в папке ADir, имена которых соответствуют маске AMask. Параметр ARecurse управляет отработкой вложенных каталогов - если ARecurse = true, то будет выполнен рекурсивный обход папок начиная от заданной и в каждой из папок будет выполнен поиск и удаление файлов по маске AMask. [B]После завершения обработки папки в данном случае производится проверка, остались ли в ней файлы - если файлов не осталось, то папка автоматически удаляется.[/B][/QUOTE]
Уже давно папка не удаляется, даже если папка изначально была пустой и приходится дополнять командой DeleteDirectory.
Думаю стоит либо внести поправку в справку, либо лучше будет если AVZ будет удалять эту папку если она пустая.

4) [url]http://z-oleg.com/secur/avz_doc/index.html?script_regrootnames.htm[/url]
[QUOTE]В именовании разделов допустимы следующие строки:

'HKEY_LOCAL_MACHINE', 'HKLM' для HKEY_LOCAL_MACHINE

'HKEY_CLASSES_ROOT', 'HKCR' для HKEY_CLASSES_ROOT

'HKEY_CURRENT_USER', 'HKCU' для HKEY_CURRENT_USER

'HKEY_CURRENT_CONFIG', 'HKCC' для HKEY_CURRENT_CONFIG

[B]'HKEY_USERS' для HKEY_USERS[/B]

'HKEY_PERFORMANCE_DATA' для HKEY_PERFORMANCE_DATA

'HKEY_DYN_DATA' - для HKEY_DYN_DATA[/QUOTE]
можно узнать в чём провинился HKEY_USERS и почему его нельзя сокращённо указывать? :)

5) В секции <IE_Setup> похоже также не экранируется, сам [URL="http://virusinfo.info/attachment.php?attachmentid=460921&d=1391848628"]лог тут.[/URL]
[HTML] <IE_Setup>
<Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="AutoConfigURL" VAL="" />
<Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="AutoConfigProxy" VAL="wininet.dll" />
<Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="ProxyOverride" VAL="<local>;*.local" />
<Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="ProxyServer" VAL="" />
</IE_Setup>[/HTML]

VAL="[B][COLOR="#FF0000"]<[/COLOR][/B]local[COLOR="#FF0000"][B]>[/B][/COLOR];*.local"

6) Как будет происходить чистка в визарде для удаления адвари? Там будет заранее составленный список файлов и ключей реестра, которые надо удалить или будет какая-то эвристика? Насколько тщательно будут вычищаться хвосты адвари? Например после удаления webalta при поиске в реестре
[QUOTE]Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите [i]webalta[/i], нажмите "начать поиск", сохраните протокол и выложите в ответ.[/QUOTE]
обычно находится пара тысяч ключей созданных ей.
Насколько понимаю там также будет разный уровень "адварности" для удаления? Например вы писали, что Mail.ru также попадёт в список этого визарда, а некоторые им пользуются.

7) Можно добавить в AVZ новую команду (или может такая уже есть?) для дебага ? То есть чтобы если активировали этот режим, то AVZ сразу записывало в текстовый файл, всё что выводится в протокол (нижнюю часть главного окна AVZ). Если во время выполнения скрипта или ещё чего-то AVZ вылетит с ошибкой, то можно будет понять на каком именно месте оно вылетает с ошибкой.

[QUOTE=regist;1088818]57) Можно добавить в AVZ новую команду (или может такая уже есть?) для дебага ? То есть чтобы если активировали этот режим, то AVZ сразу записывало в текстовый файл, всё что выводится в протокол (нижнюю часть главного окна AVZ). Если во время выполнения скрипта или ещё чего-то AVZ вылетит с ошибкой, то можно будет понять на каком именно месте оно вылетает с ошибкой.[/QUOTE]
Параметр командной строки SpoolLog=log.txt задает дублирование лога в файл с заданным именем

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=regist;1088818]
6) Как будет происходить чистка в визарде для удаления адвари? Там будет заранее составленный список файлов и ключей реестра, которые надо удалить или будет какая-то эвристика? Насколько тщательно будут вычищаться хвосты адвари? Например после удаления webalta при поиске в реестре

обычно находится пара тысяч ключей созданных ей.
Насколько понимаю там также будет разный уровень "адварности" для удаления? Например вы писали, что Mail.ru также попадёт в список этого визарда, а некоторые им пользуются.
[/QUOTE]
Логика чистки может быть любой, сколь угодно сложной (технически это скрипт AVZ, так что все реализуемое ксриптом доступно). Запуск и удаление - только вручную, по желанию пользователя. Предположительно стоит делать такую фичу для компонент, которые ставятся скрытно с каким-либо ПО и пользователь потом с удивлением обнаруживает это, не зная, откуда оно и с чем поставилось

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=regist;1088818]5) В секции <IE_Setup> похоже также не экранируется, сам [URL="http://virusinfo.info/attachment.php?attachmentid=460921&d=1391848628"]лог тут.[/URL]
[/QUOTE]
Проверил, это новый функционал, там экранирования не было, что является багой ... пофиксил

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[QUOTE=regist;1088531]4) [url]http://z-oleg.com/secur/avz_doc/index.html?script_regrootnames.htm[/url]
можно узнать в чём провинился HKEY_USERS и почему его нельзя сокращённо указывать? :)[/QUOTE]
Редко употребляемый в скриптах ключ, с коротким именем. Добавил возможность использования сокращенного наименования HKUS)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=regist;1088531]3. Думаю стоит либо внести поправку в справку, либо лучше будет если AVZ будет удалять эту папку если она пустая.
[/QUOTE]
Поправлю инструкцию. Удаление папки плохо тем, что на ней могут стоять какие-то специфические привилегии. Убем папку - потеряем привилегии, а это не всегда хорошо. Второй момент - далек не всегда правильно удалять пустую папку, например TEMP чистить нужно, а удалять - не очень правильно

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=regist;1088531]2) Протестировал у себя, у меня нормально экранируется , но заметил другую вещь ("NUL" символ) из-за этого также происходит ошибка парсинга XML лога.
[IMG]http://i58.fastpic.ru/big/2014/0207/e2/3203336f3d6528261b2a365afdb6f7e2.png[/IMG]
мой лог [URL="http://rghost.ru/52260691"]тут[/URL].
[/QUOTE]
Пофиксил. Символ с кодом 0x00 будет заменяться при помещении в XML на пробел

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=regist;1088531]1) По поводу двойных (не экранированных) кавычек вот ещё [URL="http://rghost.ru/52260572"]один лог[/URL] взят [URL="http://www.cyberforum.ru/viruses/thread1091219.html"]отсюда[/URL]. Смотрим на CmdLine у AVZ
[HTML]<ITEM PID="424" File="c:\avz.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine=""C:\avz.exe" " Size="9290240" Attr="rsAh" CreateDate="07.02.2014 14:46:58" ChangeDate="07.02.2014 14:48:58" MD5="90030F6396891FE65737B4697D92FD25" IsPE="1"[/HTML]
[/QUOTE]
Скорее всего это уже пофикшенная - в коде AVZ маскирование этого параметра есть, у меня на тесте тоже не воспроизвелось

1) [quote="Зайцев Олег;1088947"]Параметр командной строки SpoolLog=log.txt задает дублирование лога в файл с заданным именем[/quote]
Оказывается этот параметр, а также протестировал QuarantineBaseFolder (возможно и остальные ключи запуска) не работают в последнем полиморфе. Это баг или фича? :)
2) [quote="Зайцев Олег;1088947"]Запуск и удаление - только вручную, по желанию пользователя.[/quote]
А скриптом это нельзя будет удалить?
По поводу webalta вот частный случай [URL="http://rghost.ru/private/52292897/583d2f22473c7ff90aff52d4a695015f"]экспорта ключей реестра от неё[/URL], хотелось бы чтобы все они вычищались. А также может стоит дополнить чистку командой ExecuteRepair(4); ?
3)[quote="Зайцев Олег;1088947"]Поправлю инструкцию.[/quote]
заодно тогда напомню про [quote="regist;1044218"]В справке AVZ по команде [url=http://z-oleg.com/secur/avz_doc/index.html?script_syscleancleanfileslist.htm]syscleancleanfileslist[/url] в примере скрипт для команды [url=http://z-oleg.com/secur/avz_doc/script_syscleanaddfile.htm]SysCleanAddFile[/url].[/quote]
Кстати ссылка имеет адрес
[CODE]http://z-oleg.com/secur/avz_doc/index.html?script_[B]syscleancleanfileslist[/B].htm[/CODE]
а команда SysClean[B]Del[/B]FilesList - это специально из-за того, что слишком длинный адрес получается или опечатка?
4) Ещё хотелось бы напомнить [quote="regist;1071579"]нельзя ли добавить, что бы AVZ кроме hosts файла (без расширения) также проверял файл hosts.ics
Пример темы, где это было нужно [url]http://virusinfo.info/showthread.php?t=150676&page=3[/url][/quote]
5) Ещё AVZ не всегда хватает прав для удаления прав ветки реестра, вот [URL="http://virusinfo.info/showthread.php?t=133087"]вот один из примеров[/URL]. Может правда в данном случае причина, в том что использовалось RegKey[B]Param[/B]Del ? [QUOTE]функции [B]RegKeyDel[/B] и DeleteService автоматически [B]вызывают RegKeyResetSecurity[/B] в случае необходимости.[/QUOTE]

6) [quote="Зайцев Олег;1088947"]Скорее всего это уже пофикшенная - в коде AVZ маскирование этого параметра есть, у меня на тесте тоже не воспроизвелось[/quote]
Да вроде номер билда у меня тот же 4.42.144 private build, что и в логе из той темы. Может тогда ещё раз обновите полиморф, чтобы тестировать со всеми последними исправлениями?

7) Открываем -Сервис -> Менеджер авто-запуска - переходим к какому-то ключу реестра -> ПКМ открыть в regedit - открывается просто regedit, а как понимаю дерево должно быть развёрнуто на том ключе на котором мы нажали.
Потом опять в менеджере автозапуска щёлкаем ПКМ на ключе - поиск в Rambler - в строку поиска в конце параметра дописывается [B]&where=1[/B] например
[CODE]C:\WINDOWS\System32\cscui.dll&where=1[/CODE]

+ Там в столбике параметров отображается только запускаемы файл без дополнительных параметров, к примеру
[CODE]"C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -n vmusr[/CODE]
В AVZ отображается только
[CODE]C:\Program Files\VMware\VMware Tools\vmtoolsd.exe[/CODE]
+ пожелание если можно добавить автоматическое расширение ширина столбца на длину самого длинной строки при двойном клике на границы столбиков.

тестировал на XP

Заметил синтаксическую ошибку в справке (и в локальной и в он-лайн версиях). Раздел Подсистема AVZPM - О технологии:

[QUOTE]собранные драйвером данные применя[B]е[/B]тся для поиска маскирующихся процессов и драйверов[/QUOTE]
Должно быть:
[QUOTE]собранные драйвером данные применя[B]ю[/B]тся для поиска маскирующихся процессов и драйверов[/QUOTE]

[QUOTE=regist;1088107]При запуске батника на 7 х64 следующего содержания
[CODE]avz.exe HiddenMode=0 Script=test.txt[/CODE]
Просто двойным кликом AVZ запускается и работает нормально, при запуске ПКМ от имени админа, не видно чтобы AVZ вообще запустился :?.
Разумеется все файлы лежат рядом с AVZ.[/QUOTE]

Баг подтверждаю.

1) При попытке прочитать с какими параметрами был запущен AVZ он не возвращает параметр NewDsk. Можно проверить запустив AVZ с параметром командной строки NewDsk=Y и выполнив скрипт
[CODE]begin
AddToLog(GetParamByName('NewDsk'));
end.[/CODE]
в лог добавляется пустая строка.

2) Импортируем в реестр такой ключ
[CODE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVZ"="\"C:\\Test\\AVZ\\avz.exe\" Script=\"C:\\Test\\AVZ\\Script2.txt\" HiddenMode=0 spoollog=test-log.txt"

[/CODE]
После запуска AVZ отчёт [I]test-log.txt[/I] создаётся в [I]%USERPROFILE%[/I] - тестировал на XP.

3) Просьба добавить поддержку комбинации горячих клавиш Ctrl + A в окне выполнения скрипта AVZ.

[QUOTE=regist;1090089]1) При попытке прочитать с какими параметрами был запущен AVZ он не возвращает параметр NewDsk. Можно проверить запустив AVZ с параметром командной строки NewDsk=Y и выполнив скрипт

3) Просьба добавить поддержку комбинации горячих клавиш Ctrl + A в окне выполнения скрипта AVZ.[/QUOTE]
1. Так и было задумано. Указание этого ключа приводит к тому, что создается новый десктоп, на нем - AVZ без параметра NewDsk
3. Изменил, добавил попутно редактор с подсветкой синтаксиса
Полиморф обновлен, можно пробовать.

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

[QUOTE=Sandor;1089780]Заметил синтаксическую ошибку в справке (и в локальной и в он-лайн версиях). Раздел Подсистема AVZPM - О технологии:


Должно быть:[/QUOTE]
Пофиксил

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[QUOTE=regist;1090089]
2) Импортируем в реестр такой ключ
[CODE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVZ"="\"C:\\Test\\AVZ\\avz.exe\" Script=\"C:\\Test\\AVZ\\Script2.txt\" HiddenMode=0 spoollog=test-log.txt"

[/CODE]
После запуска AVZ отчёт [I]test-log.txt[/I] создаётся в [I]%USERPROFILE%[/I] - тестировал на XP.
[/QUOTE]
Создает в текущем каталоге процесса ... для однозначности сделал так - в параметре если не указан полный путь начиная от диска, то к нему приписывается путь к каталогу AVZ. Т.е.:
spoollog=test-log.txt будет трактоваться как "создать test-log.txt в каталоге AVZ"
spoollog=..\test-log.txt будет трактоваться как "создать test-log.txt на уровень выше каталога AVZ"
spoollog=c:\logs\test-log.txt будет трактоваться как "создать test-log.txt по указанному полному пути"

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=Vvvyg;1089987]Баг подтверждаю.[/QUOTE]
AVZ в таком случае вообще не запускается ... это особенность системы, а не AVZ.

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

[QUOTE=regist;1089610]7) Открываем -Сервис -> Менеджер авто-запуска - переходим к какому-то ключу реестра -> ПКМ открыть в regedit - открывается просто regedit, а как понимаю дерево должно быть развёрнуто на том ключе на котором мы нажали.
Потом опять в менеджере автозапуска щёлкаем ПКМ на ключе - поиск в Rambler - в строку поиска в конце параметра дописывается [B]&where=1[/B] например
[CODE]C:\WINDOWS\System32\cscui.dll&where=1[/CODE]
[/QUOTE]
Пофиксил (раньше такой параметр зачем-то присутствовал при поиске в Rambler через его форму поиска)

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=regist;1089336]1)
Оказывается этот параметр, а также протестировал QuarantineBaseFolder (возможно и остальные ключи запуска) не работают в последнем полиморфе. Это баг или фича? :)
2)
А скриптом это нельзя будет удалить?
По поводу webalta вот частный случай [URL="http://rghost.ru/private/52292897/583d2f22473c7ff90aff52d4a695015f"]экспорта ключей реестра от неё[/URL], хотелось бы чтобы все они вычищались. А также может стоит дополнить чистку командой ExecuteRepair(4); ?
3)
заодно тогда напомню про
Кстати ссылка имеет адрес
[CODE]http://z-oleg.com/secur/avz_doc/index.html?script_[B]syscleancleanfileslist[/B].htm[/CODE]
а команда SysClean[B]Del[/B]FilesList - это специально из-за того, что слишком длинный адрес получается или опечатка?
4) Ещё хотелось бы напомнить
5) Ещё AVZ не всегда хватает прав для удаления прав ветки реестра, вот [URL="http://virusinfo.info/showthread.php?t=133087"]вот один из примеров[/URL]. Может правда в данном случае причина, в том что использовалось RegKey[B]Param[/B]Del ?

6)
Да вроде номер билда у меня тот же 4.42.144 private build, что и в логе из той темы. Может тогда ещё раз обновите полиморф, чтобы тестировать со всеми последними исправлениями?[/QUOTE]
1. Глюк полиморфа, исправлю
2. Визард еще и ищет проблемы, а многие пользователи и е знают, что у них засело ... Визард можно вызывать из скрипта, причем операции визарда не меняют порядковых номеров - можно вызвать определенные операции, и дочистить если надо скриптом
3. поправлю
4. частотакое требуется ? Больше вроде нет похожих жалоб
5. При удалении ключа с него сбиваются права (удаленному ключу это не повредит). При операциях с параметром права не трогаются, нужно сбивать их в явном виде
6. обновил

1) [quote="Зайцев Олег;1088947"]Проверил, это новый функционал, там экранирования не было, что является багой ... пофиксил[/quote]
Баг по прежнему актуален. Вот [URL="http://rghost.ru/52542362"]лог версией AVZ версии 4.42.152 private build[/URL].
2) [quote="Зайцев Олег;1091614"]Создает в текущем каталоге процесса ... для однозначности сделал так - в параметре если не указан полный путь начиная от диска, то к нему приписывается путь к каталогу AVZ. Т.е.:
spoollog=test-log.txt будет трактоваться как "создать test-log.txt в каталоге AVZ"
spoollog=..\test-log.txt будет трактоваться как "создать test-log.txt на уровень выше каталога AVZ"
spoollog=c:\logs\test-log.txt будет трактоваться как "создать test-log.txt по указанному полному пути"[/quote]
Это будет исправлено в следующей версией? Потому, что в текущей версии полиморфа при автостарте из ключа реестра у меня всё осталось по старому.

3) [URL="http://virusinfo.info/showthread.php?t=141836&p=1060062&viewfull=1#post1060062"]Этот баг[/URL] также всё ещё актуален, воспроизвёлся на windows 7 x64 и 8.1 х64.
Кстати какая разница между командами KillProcess и TerminateProcess ? Команда KillProcess при выполнение данного скрипта возвращает ошибку [QUOTE]Ошибка [2, KILLPROCESS] [/QUOTE]

4) Насчёт не экранированных кавычек
[code]<ITEM File=".dll" CheckResult="-1" Enabled="-1" Type="?" X1="HKEY_LOCAL_MACHINE" X2="System\CurrentControlSet\Control\Lsa" X3="Security Packages" X4="[COLOR="#FF0000"][B]""[/B][/COLOR]" Is64="0"[/code]
[URL="http://rghost.ru/52542444"]В архиве экспорт ключа[/URL].

[IMG]http://i60.fastpic.ru/big/2014/0220/7b/7214bf503ace4eb806a77216aaa51e7b.png[/IMG]
По этому же ключу второй вопрос, откуда в логе взялось .dll
[IMG]http://i33.fastpic.ru/big/2014/0220/b3/926873112dcbd3b75d37bd5d33d18ab3.png[/IMG]

5) windows 7 x64 AVZ не видит в реестре следующего ключа автозапуска
[CODE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Babakan"="cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://virusinfo.info && exit)"
[/CODE]
Баг похоже воспроизводится не у всех, поэтому скрин прилагаю
[URL=http://fastpic.ru/view/33/2014/0220/d056924adbf65c3f89c648fcdc29ab6f.png.html][IMG]http://i33.fastpic.ru/thumb/2014/0220/6f/d056924adbf65c3f89c648fcdc29ab6f.jpeg[/IMG][/URL]
Браузер успешно автозапускается, а ключа не видно ни в менеджере автозапуска ни в логе даже в текстовой части. Кстати просьба включить (перенести) подобные ключи с запуском командной строки из текстовой части лога в таблицу.

6) [quote="Зайцев Олег;1091614"]Заметил синтаксическую ошибку в справке (и в локальной и в он-лайн версиях). Раздел Подсистема AVZPM - О технологии:[/quote]
Это тоже пока актуально.

7) [quote="Зайцев Олег;1091614"]частотакое требуется ? Больше вроде нет похожих жалоб[/quote]
Насчёт hosts.ics да вроде пока больше таких случаев не было, но учитывая, что вы
[quote="Зайцев Олег;1017764"]не люблю часто обновлять AVZ[/quote]
то хочется чтобы AVZ это видел уже сейчас, а не ждать пока это станет массово популярным. То что вирусописатели это могут использовать уже доказано, при этом это остаётся абсолютно не видимым в логе (и если бы пользователь не прислал дроппер виря, то неизвестно ещё сколько бы времени искали в чём там проблема).

По hosts.ics - надо, сталкивался с использованием его для перенаправления.