AVZ 3.80 - тестирование, обсуждение, предложения по доработке

[QUOTE=DimaT]Kроме этого, [B]Real Time protector FDISK [/B] после работы [B]AVZ 3.80[/B] нaчал ''кричать'' на C:\WINDOWS5\Temp\[B]AV55327.tmp[/B] [U]Infection: BAT/DelTree@troj[/U]...[/QUOTE]
Это антивирусник на временный вал AVZ судя по всему выругался - он (AVZ) такие файлы создает в ходе проверки архивов. Насчет emule.exe и компании - стоит их прислать мне, я внесу в базы безопасных. А вот насчет
ctfmon.dll и всего остального из папаки CTF - судя по всему это дейтсвительно шпион-кейлоггер. Если интересно, я могу учточнить, где он держит логи и настройки - стоит выяснить, кто и с какой целью его поставил ...

[QUOTE=Зайцев Олег]Это антивирусник на временный вал AVZ судя по всему выругался - он (AVZ) такие файлы создает в ходе проверки архивов.[/QUOTE] Это, как раз, я понимаю...
Кстати, в той же C:\WINDOWS5\Temp\ осталось после работы еще 52 файла (2.45 Мб)... Он после себя не почистил?
Или оставил на следующий раз?
[QUOTE]А вот насчет ctfmon.dll и всего остального из папаки CTF - судя по всему это дейтсвительно шпион-кейлоггер. Если интересно, я могу учточнить, где он держит логи и настройки - стоит выяснить, кто и с какой целью его поставил ...[/QUOTE] Интересно, конечно...

Относительно ctfmon.dll в его папке в readme.txt написано: [QUOTE][B]SpyArsenal.com - Family Keylogger v2.83[/B]
-----------------------------------------
Family Key Logger v2.83 - this is the best choice,
if you want to know what others are doing on your
own computer while you are not at home (or office).
Install Family Keylogger, set options "Start in
hidden mode" and "Hide in task list", so that it
makes itself invisible to anyone. After you return,
you can just press keystroke to unhide.
Family Key Logger - you have the right to Know!

Order
-----
[url]http://www.spyarsenal.com/familykeylogger/order.html[/url]
License
-------
See License.txt
Copyright (C) 2002-2004. KMiNT21 Software. All Rights Reserved.
[/QUOTE]

[QUOTE=DimaT]Относительно ctfmon.dll в его папке в readme.txt написано:[/QUOTE]
Это подтверждает диагноз - это классический клавиатурный шпион - осталось узнать, кто его проинсталлил и для чего :) (он кстати инсталлится запуском сетапа, т.е. это ручная операция)

[QUOTE=DimaT]Выдало сейчас:
А с [B]ctfmon.exe[/B] - совсем ''непонятка'' - он всегда там ''жил''...[/QUOTE]
Прижился, почти домашний стал.
[url]http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453090753[/url]
Хотя если сам ставил, тогда ...

[QUOTE=DimaT]Это, как раз, я понимаю...
Кстати, в той же C:\WINDOWS5\Temp\ осталось после работы еще 52 файла (2.45 Мб)... Он после себя не почистил?
Или оставил на следующий раз?
[/QUOTE]
Это временные файлы, я усовершенствую алгоритм их зачистки после проверки, чтобы хвосты не оставались

[QUOTE=MOCT]в справке встречаются опечатки, иногда по две штуки на фразу:
...
и еще - базы обновляются чаще, чем выходят новые версии программы, поэтому неплохо было бы иметь точный линк на daily (или им подобные) обновления[/QUOTE]
распечатываю и подшиваю в папку "доработки" - в очередной версии постараюсь все учесть.

[QUOTE=Зайцев Олег]распечатываю и подшиваю в папку "доработки" - в очередной версии постараюсь все учесть.[/QUOTE]

Проще всего на главной странице сделать пунктик AVZ-daily,
Лучше всего - автообновление, ИМХО.

[QUOTE=RiC]Прижился, почти домашний стал.
[url]http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453090753[/url]
Хотя если сам ставил, тогда ...[/QUOTE]
Так в папке его цивилизованно даже uninstaller.exe ''лежал''. :D
Запустил - сам себя ''снес''...

[QUOTE=Зайцев Олег]распечатываю и подшиваю в папку "доработки" - в очередной версии постараюсь все учесть.[/QUOTE]
тогда еще до кучи ;-))

Замечена такая проблема - отсутствует кнопка/возможность "обновить дерево каталогов" на вкладке "Область поиска".
Т.е. если я создал в каталоге (где раньше не было подкаталогов) подкаталог, то просканировать только его AVZ не сможет ибо в списке каталогов он будет отсутстувовать.
В настоящий момент проблема решается закрытием и новым запуском программы.

Еще одна проблема - если я регулярно сканирую одну и ту же систему, то я вырабатываю/устанавливаю удобные для себя настройки.
Хотелось бы иметь возможность сохранять текущие настройки (профиль) с последующей загрузкой его по умолчанию (хранить можно в файле или реестре - по усмотрению автора).
Иначе каждый раз приходится расставлять все галочки по новой.

Нельзя просканировать файлы в каком-либо каталоге без сканирования подкаталогов.
Если убрать галочки со всех подкаталогов, то автоматически убирается галочка и с каталога. А ведь в нем тоже находятся файлы, которые нужно проверять. (перефразируя - "Не подкаталогами едиными..." ;)

Заметил, что с RAR-архивами у программы работа не сложилась. Это так и задумано, или у меня просто архивы особые? В любом случае, во избежании подобных вопросов желательно описать все типы проверяемых архивов в справке в разделе "О программе".

Снова по hlp - "в любом лсучае AVZ расчитан на возможность"

Заметил, что возможна ситуация, когда AVZ "вышибает из колеи" и после проверки файлов
программа (пропуская пункты 4,5,6,7, а также вывод строк
Просканировано файлов: 105, извлечено из архивов: 102, найдено вирусов 0
Сканирование завершено в 11.09.05 14:23:46
выдает
Сканирование длилось 00:00:02
и завершает поиск.
Происходит это при включенной опции "Проверять архивы" (максимальный размер выставлен по умолчанию, но файлов размером более 2мб в папке нет).
Происходит при проверке CHM внутри ZIP архива размером 1.8мб
Самое интересное, что в строке статуса продолжают мелькать проверяемые после этого имена файлов, но на экран уже ничего не выводится.
Но происходит это не всегда (т.е. при перекладывании файла в другое место там этот глюк не проявляется), видимо влияют еще и предшествующие файлы.

[QUOTE=MOCT]
Замечена такая проблема - отсутствует кнопка/возможность "обновить дерево каталогов" на вкладке "Область поиска".
Т.е. если я создал в каталоге (где раньше не было подкаталогов) подкаталог, то просканировать только его AVZ не сможет ибо в списке каталогов он будет отсутстувовать.
В настоящий момент проблема решается закрытием и новым запуском программы.[/QUOTE]
F5 (стандартная виндовая функция "обновить") или Right-Click в этом окне и "Обновить".

[QUOTE=MOCT]Еще одна проблема - если я регулярно сканирую одну и ту же систему, то я вырабатываю/устанавливаю удобные для себя настройки.
Хотелось бы иметь возможность сохранять текущие настройки (профиль) с последующей загрузкой его по умолчанию (хранить можно в файле или реестре - по усмотрению автора).
Иначе каждый раз приходится расставлять все галочки по новой.[/QUOTE]
Это предложение уже было... Олег, ты обещал создать тему со всеми предложениями по доработке AVZ, где же она? :) А то уже начинаем повторяться... и, кажется, не первый раз!

Почитал дискуссию на Кпнемо... В начале и в конце лога нужно что бы выводилось большими буквами что-то типа:
Внимание, эвристический анализатор может выдавать подозрение на вполне безопасные файлы, не удаляйте их! Все "подозрительные" файлы просьба отправлять для проверки на мыло...

[QUOTE=Geser]Почитал дискуссию на Кпнемо... В начале и в конце лога нужно что бы выводилось большими буквами что-то типа:
Внимание, эвристический анализатор может выдавать подозрение на вполне безопасные файлы, не удаляйте их! Все "подозрительные" файлы просьба отправлять для проверки на мыло...[/QUOTE]
Ага, я читая это пришел к налогичном мнению ...

Товарищи,
AVZ постоянно видит порты 1025,1026 UDP и TCP открытые процессами RPC.
Видит это и Port Explorer (как SYSTEM) но как RPC определяет AVZ.
DCOM и Remote Connect у меня закрыты еще в реестре, стена Sygate, кроме прочего стоит прямой запрет на все процессы RPC**.EXE и rpc***.dll
Дошло до того, что переименовал все rpc**.dll, кроме одной rpcrt4.dll - система не дает, также из-за отсутствия последней не запускается стенка.
Ни KAV, ни DrWeb, ни AVZ ничего странного не нашли.
Наверное ничего страшного, что-то криво стоит, но, видимо, если это беспокоит, то переустановка либо попробовать другую стенку (я бы другому сам так посоветовал).
Или есть выход?
Почему именно сюда -Автор ведь знает механизм определения процесса утилитой.
Если бы AVZ определила -SYSTEM, я бы, не заморачиваясь, просто поменял Sygate (Ну вот я уже и виноват, подумает Автор)

2 WakenUp

В "сервис" - "открытые порты TCP\UDP" в колонке "Приложение" должен быть указан полный путь к файлу.

[b]Олег[/b]
В "Менедженр Winsock" и в "Открытые порты TCP/UDP" в гриде ячейки не в Read-only режиме, на работу это не влияет, но у некоторых юзеров могут появится лишние вопросы.

И вообще, я уже предлагал изменить название с АВЗ на что-то другое. Как и предпологалось народ путается и начинает сравнивать АВЗ с антивирусами.
Я бы написал "Интегрированная среда для поиска и уничтожения вредоносных программ"
И не стоит поддаваться соблазну переделать АВЗ так что бы с ней могли работать "чайники".

P.S. Вот, предлагаю сменить название на AMT - AntiMalware Toolkit.

[QUOTE=Grey][b]Олег[/b]
В "Менедженр Winsock" и в "Открытые порты TCP/UDP" в гриде ячейки не в Read-only режиме, на работу это не влияет, но у некоторых юзеров могут появится лишние вопросы.[/QUOTE]
Глюк, исправлено

[QUOTE=Geser]И вообще, я уже предлагал изменить название с АВЗ на что-то другое. Как и предпологалось народ путается и начинает сравнивать АВЗ с антивирусами.
Я бы написал "Интегрированная среда для поиска и уничтожения вредоносных программ"
И не стоит поддаваться соблазну переделать АВЗ так что бы с ней могли работать "чайники".

P.S. Вот, предлагаю сменить название на AMT - AntiMalware Toolkit.[/QUOTE]
Делать AVZ под "чайника" я не собираюсь ... максимим из того,что я сделаю -это расширю хелп, всякие подсказки введу. Фокус в том, что AVZ имеет минус с точки зрения "чайника" - он много всего пишет в логи ... но лично я не сторонник "однокнопочных антивирусов/антишпионов".

AVZ конечно можно переименовать - но название прижилось, оно в куче статей фигурирует - проще AVZ вирусы научить ловить :) (это кстати планируется, для распространенной заразы типа Nsag, Hidrag ...). А сравнение с антивирем - это конечно неправильно, но ведь в хелпе AVZ написано, что это утилита, дополняющая антивирус ... только хелп никто не читает :)

[QUOTE=Geser]И вообще, я уже предлагал изменить название с АВЗ на что-то другое. Как и предпологалось народ путается и начинает сравнивать АВЗ с антивирусами.[/QUOTE]
А разве АВЗ - это не аббревиатура для "[B]АнтиВирус Зайцева[/B]"? :?
Чем плохо сравнивать АВЗ с антивирусом? Да, сигнатур немного (пока), но зато есть неплохой алгоритм поиска новой пакости!
АВЗ - это, можно сказать, уже бренд, известный многим! Зачем же менять ему название?