[quote=Зайцев Олег;101667]пинчей более 700 ...[/quote]
дамрай трудится не покладая рук. Для каждого клиента у него индивидуальный пинч. :)
Printable View
[quote=Зайцев Олег;101667]пинчей более 700 ...[/quote]
дамрай трудится не покладая рук. Для каждого клиента у него индивидуальный пинч. :)
Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
Он должен работать после загрузки???
Ключи в реестре есть, файл есть, сообщений об ошибках нет.
ver.4.24 r2
win xp home
Win2003
[QUOTE=АлександрУ;101761]Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
Он должен работать после загрузки???
Ключи в реестре есть, файл есть, сообщений об ошибках нет.
ver.4.24 r2
win xp home
Win2003[/QUOTE]
Должен. Я советую:
0. Удалить AVZPM и перезагрузиться. Обновить базы. После обновления на всякий случай перезапустить AVZ.
1. Включить AVZPM, провести сканирование и убедиться, что в логе есть отметка о его использовании и нет ошибок
2. Перезагрузиться и повторить опыт. После перезагрузки PM должен работать
В системе XPhome рецепт помог, win2003 проверю позже..
Обновляюсь ежедневно, где была проблема не понял.
А удаление avz - это только удаление каталога avz?
При попытке ручного удаления в реестре ссылок с AVZRK - система не позволяет..???..AVZPM при этом не работает...
Может в AVZ добавить ключ - чистка реестра(uninstall avz)?
Uninstall AVZ нашел в стандартных скриптах - не разу не интересовался этим пунктом...попробовал его - работает.
Опять вылез глюк с AVZPM на системе с XPhome.
Удалял, обновлял, чистил - не помогло.
Ставлю v.4.24(не r2) - avzpm работает.......
Привет
[QUOTE=Зайцев Олег;101657]Спасибо, я потихоньку скачиваю эти архивы и помещаю в базу чистых.
[/QUOTE]
Олег. у нас на проксе стоит ограничение на размер выгружаемых от нас файлов ~250к
Я разбивал большие файлы на части раром и ли 7зипом
Они собирались? (имен файлов уже к сожалению не помню давненько было)
[QUOTE=Oro;101935]Привет
Олег. у нас на проксе стоит ограничение на размер выгружаемых от нас файлов ~250к
Я разбивал большие файлы на части раром и ли 7зипом
Они собирались? (имен файлов уже к сожалению не помню давненько было)[/QUOTE]
Пара архивов RAR у меня открылись нормально, еще 1-2 многотомных не открылись - ругался на повреждение одной из частей архива. Вообще лучше делать не многотомный архив, а именно несколько независимых архивов.
[quote=АлександрУ;101761]Устанавливаю AZVPM, перезагружаюсь - а он не загружен.
Он должен работать после загрузки???
Ключи в реестре есть, файл есть, сообщений об ошибках нет.
ver.4.24 r2
win xp home
Win2003[/quote]
У меня такая же проблема была - в AVZ устанавливаю AZVPM, просит перезагрузку. В меню AZVPM сообщается, что он не установлен. щелкаем установить и все ок. Глюк программы, т.к. драйвер на самом деле встал и работает.
[QUOTE=Зайцев Олег;101942] Вообще лучше делать не многотомный архив, а именно несколько независимых архивов.[/QUOTE]
Стараюсь, но не всегда выходит - бывают файлы (незаархивированные) по 1-2 Мб
Win XP Home Edition -> Access Violation
Когда сканирование доходит до <поиска клавирных перехватчиков>
AVZ 4.24 r2 впадает в Access Violation.
AVZPM не установлен, винда была замучена разными вирями, в том числе и каким-то уродцем, который после копирования текста в буффер заменял его на "Hello".
[QUOTE=Alex_Goodwin;102000]У меня такая же проблема была - в AVZ устанавливаю AZVPM, просит перезагрузку. В меню AZVPM сообщается, что он не установлен. щелкаем установить и все ок. Глюк программы, т.к. драйвер на самом деле встал и работает.[/QUOTE]
Аналогично. Глюк интерфейса.
Однако, когда после выполнял скрипт "Скрипт сбора неопознанных и подозрительных файлов"
получил:"1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM"
Действительно, AVZPM работает после перезагрузки, но AVZ его не видит. Это проблема релиза r2.
[QUOTE=АлександрУ;102238]Действительно, AVZPM работает после перезагрузки, но AVZ его не видит. Это проблема релиза r2.[/QUOTE]
Да - проблема поймалась, причина - внеочередная замена версии. Я видимо выпущу r3, чтобы убрать эту проблему
[QUOTE=Зайцев Олег;102246]Да - проблема поймалась, причина - внеочередная замена версии. Я видимо выпущу r3, чтобы убрать эту проблему[/QUOTE]
Олег, сделай потом объявление на главной странице z-oleg.com, пожалуйста. Не все приходят на этот форум.
[QUOTE=SuperBrat;102256]Олег, сделай потом объявление на главной странице z-oleg.com, пожалуйста. Не все приходят на этот форум.[/QUOTE]
ОК, сделаю. Я положил на прежнее место обновленный архив, там 4.24 r4, в ней устранены глюки в антикейлоггере, AVZPM и еще ряд мелочей.
Странности..
Attention !!! The database was last updated 3/6/2007 - it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.24
Scanning started at 4/3/2007 7:36:22 PM
Database loaded: 92528 signatures, 2 NN profile(s), 55 microprograms of healing, signature database released 06.03.2007 11:35
Heuristic microprograms loaded : 367
Digital signatures of system files loaded: 56711
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
1. Searching for rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section: .text
Analysis: ntdll.dll, export table found in section: .text
Analysis: user32.dll, export table found in section: .text
Analysis: advapi32.dll, export table found in section: .text
Analysis: ws2_32.dll, export table found in section: .text
Analysis: wininet.dll, export table found in section: .text
Analysis: rasapi32.dll, export table found in section: .text
Analysis: urlmon.dll, export table found in section: .text
Analysis: netapi32.dll, export table found in section: .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=0846E0)
Kernel ntkrnlpa.exe found in the memory at the address 804D7000
SDT = 8055B6E0
KiST = 80503A70 (284)
Function NtCreateKey (29) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2DF
>>> Function recovered successfully !
Function NtDeleteKey (3F) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2F3
>>> Function recovered successfully !
Function NtDeleteValueKey (41) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B31F
>>> Function recovered successfully !
Function NtOpenKey (77) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B2CB
>>> Function recovered successfully !
Function NtRenameKey (C0) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B309
>>> Function recovered successfully !
Function NtSetValueKey (F7) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B335
>>> Function recovered successfully !
Function NtTerminateProcess (101) - machine code modification Method of JmpTo.\SystemRoot\system32\drivers\mfehidk.sys jmp A951B34B
>>> Function recovered successfully !
Functions checked: 284, intercepted: 0, restored: 7
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Analysis for CPU 2
Checking IDT and SYSENTER - complete
>>>> Suspicion for Rootkit McAfeeFramework "C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart
1.4 Searching for masking processes and drivers
The extended monitoring driver (AVZPM) is not installed, examination is not performed
2. Scanning memory
Number of processes found: 44
Number of modules loaded: 395
Memory checking - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Program Files\HPQ\IAM\bin\ItMsg.dll --> Suspicion for a Keylogger or Trojan DLL
C:\Program Files\HPQ\IAM\bin\ItMsg.dll>>> Behavioral analysis:
Behaviour typical for keyloggers not detected
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
checking disabled by user
7. Heuristic system check
Checking complete
Files scanned: 439, extracted from archives: 0, malicious programs found 0
Scanning finished at 4/3/2007 7:36:36 PM
!!! Attention !!! Recovered 7 KiST functions during Anti-Rootkit operation
This may affect execution of several programs, so it is strongly recommended to reboot
Time of scanning: 00:00:14
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address [url]http://virusinfo.info[/url] conference
[B]Quarantine file error ""C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S" [/B]
File "C:\Program Files\HPQ\IAM\bin\ItMsg.dll" quarantined succesfully
Олег, возможно вопрос не в тему, но что будет если AVZ просканирует папку с глубиной пути больше MAX_PATH? Или очееень глубоко вложенный файл, папку с запущенным оттуда процессом? Мне интересно, поскольку мы сейчас занимаемся "исследованием" на тему эксплоитостойкости security софта. Первый этап - внутренние буферы. Пока результаты неутешительные. [url]http://forum.rootkits.ru/viewtopic.php?id=95[/url]
[QUOTE=EvilPhantasy;102642]Олег, возможно вопрос не в тему, но что будет если AVZ просканирует папку с глубиной пути больше MAX_PATH? Или очееень глубоко вложенный файл, папку с запущенным оттуда процессом? Мне интересно, поскольку мы сейчас занимаемся "исследованием" на тему эксплоитостойкости security софта. Первый этап - внутренние буферы. Пока результаты неутешительные. [url]http://forum.rootkits.ru/viewtopic.php?id=95[/url][/QUOTE]
Я не проверял, но глюк вполне возможен - надо будет завтра поэкспериментировать, весьма интересно. Аналогично кстати с проверкой архивов-матрешек - я недавно поставил контроль глубины в AVZ, так как стали появляться "бомбы" в виде 200-300 архивов внутри друг друга, их рекурсивная раскрутка в частности в RAR архиве однозначно приводила к падению.
Олег рюшечка конечно но всё таки, можно в логах поменять местами
"Нейтрализация перехватов функций при помощи антируткита"
"Включить AVZGuard"
просто начинаешь нажимать поочереди получаеться не очень хорошо "Нейтрализация перехватов функций при помощи антируткита" получаеться после "Включить AVZGuard", я уже так пару раз ошибиться успел..
Ещё маленькое предложение в логах для нашего форума, в тексте было бы сказано в каком режиме загружена система, как в бетке hi jack this (Normal mode/ safe mode..)
Я с больной головы посоветовал AVZ пользователю. Она по своей инициативе отошла от строго очерченной инструкции, боролась с руткитами (без AVZPM) и т. д., и в результате [url=http://forum.oszone.net/post-570404-17.html]сообщила[/url], что
[QUOTE]Происшествие: зашла в "файл", запустила автокарантин, когда процесс завершился, вылетело сообщение о чем не помню, но альтернативы не было, - кнопка была одна: "Да". После "Да" – комп сделал глубокий вздох, и … "восстановился после серьезной ошибки"… Не были отключены ни фаервол, ни нод, вероятно, это и было причиной некорректного поведения программы. Надеюсь, ничего страшного не случилось[/QUOTE]
И почему вообще запустила его - не пойму. :) Но в принципе такое может быть? Автокарантин ведь только с копированием, или ошибаюсь?
[QUOTE=Erekle;102679]Я с больной головы посоветовал AVZ пользователю. Она по своей инициативе отошла от строго очерченной инструкции, боролась с руткитами (без AVZPM) и т. д., и в результате [/QUOTE]
Erekle, молодец! :) Выражение "с больной головы посоветовал AVZ пользователю" я записал. Один знакомый хирург говорил: "Я по телефону диагноз не ставлю!" Хороший девиз, ему лучше следовать и делать все самому. Автокарантин не страшен, пользователь просто собрал все подозрительные файлы в одной папке (без удаления).
[QUOTE=Erekle;102679]Я с больной головы посоветовал AVZ пользователю. Она по своей инициативе отошла от строго очерченной инструкции, боролась с руткитами (без AVZPM) и т. д., и в результате [url=http://forum.oszone.net/post-570404-17.html]сообщила[/url], что
И почему вообще запустила его - не пойму. :) Но в принципе такое может быть? Автокарантин ведь только с копированием, или ошибаюсь?[/QUOTE]
AVZ в руках такого шустрого пользователя страшнее обезьяны с гранатой :) Именно поэтому в AVZ и появились скрипты - чтобы самодеятельность пользователя свести к нулю. Я почитал указанное обсуждение, логов там не видно, но судя повсему на ПК каша из пары антивирусов, Firewall и парочки троянов. Если в такой ситуации включить автокарантин AVZ, то возможен конфликт AVZ и действующего антивирусного монитора. Вообще автокарантин - это просто сбор файлов, которые не опознаны по базе безопасных.
Олег
В теме 8846 Windows ME не правильно отображается раздел лога Active Setup. Взгляни при случае.
[COLOR="DimGray"][QUOTE]Выражение "с больной головы посоветовал AVZ пользователю" я записал.
"Я по телефону диагноз не ставлю!"[/QUOTE]
:) Конечно...
Точнее, советовали другие и она уже "проводила лечение" (каким образом, можно только гадать), я подвиг на повтороное сканирование, потому что она спрашивала, как его настроить. Но она отклонилась от советов. И я так и не добился лога [url=http://forum.oszone.net/thread-82011-1.html]за всю ночь[/url], несмотря на неоднократные увещевания. Единственное - обрывок лога, интересный по её мнению, да ещё удалённый потом из сообщения из "осторожности". :) У неё два ПК, каша из бывших и нынешних антивирусов-антиспай и активная самодеятельность "для профилактики", да ещё в спешке, что было ясно видно и из других её сообщений на форуме. Только поэтому не отослал её сразу сюда.[/COLOR]
Что-то случилось с AVZPM.. Не могу понять.. Стало происходить (скорее всего) с апреля месяца.. Устанавливаю AVZRK, перезагружаю систему, запускаю AVZ, а драйвер типа не установлен.. В Диспетчере служб и драйверов AVZRK висит, а приложение его не воспринимает..
Вопрос:
Со мной все нормально?
[QUOTE=DoggoD;103146]Что-то случилось с AVZPM.. Не могу понять.. Стало происходить (скорее всего) с апреля месяца.. Устанавливаю AVZRK, перезагружаю систему, запускаю AVZ, а драйвер типа не установлен.. В Диспетчере служб и драйверов AVZRK висит, а приложение его не воспринимает..
Вопрос:
Со мной все нормально?[/QUOTE]
Нужно обновить AVZ - это баг, проявился в конце марта - начале апреля. Он уже пофиксен, но официально версия AVZ не менялась (в "О программе" отображается дата сборки и релиз после буквы R).
Олег! Просто напомню. посмотри тему 8846, что-то там нето АВЗ отображает.
Всем привет!
Я достаточно давно наблюдаю и анализирую отечественные и зарубежные
разработки, как в области защиты, так и в области нападения.
Когда я "открыл" для себя AVZ я отнесся к нему не очень серьезно, но решил активно поганять. С тех пор не расстаюсь с Вашей прогой!
Огромное спасибо за качественный и бесплатный продукт!
Но в связи с переходом на Vista64 по понятным аричинам от AVZ пришлось отказаться. А жаль!
Так вот, мне интересно, планируется ли в принципе переход на Vista/Vista64 и как долго его ждать?
Желаю вам успехов!
@Олег Зайцев
Есть предложение сделать в логе исследования ссылочку на начало протокола. Было бы, думаю, удобно. Сначала сходил вниз, посмотрел протокол, потом вернулся, проанализировал лог.
Кнопка Home на клавиатуре уже есть. ;)
Не точно выразился. Хотелось бы именно сверху вниз перепрыгивать.
А такой кнопки на клавиатуре не нашел :(
А кнопочка End чем не подходит? :)
Забыл, старый дядька, никогда этой кнопкой не пользуюсь.
Но, все-таки хотелось попадать на начало лога, а не на самый конец.
Предложение:
При обновлении антивирусной базы сделать так, чтобы АВЗ в конце сообщал - сколько по объёму загружено и какие файлы обновлены (последнее - если требуется).
А то он просто говорит "Загружено и установлено" без конкретики - и это часто нервирует :)
Так он же сообщает. Счас только что обновил, в окне выдало о загрузке 115 Кб. В момент обновления показывается список обновляемых файлов :)
В [B]момент[/B] обновления - да, но у меня АДСЛ - это сообщение проскакивает очень быстро и потом всё закрывается обезличенным результирующим окном "Загружено и установлено" - а что, сколько и проч. - неясно...
Ну у меня тоже, если обновление небольшое, всё аналогично. Правда размер всё-таки успеваю заметить :20:. Насчёт лишнего - не волнуйся, "хлама" и пр. не загрузится. По крайней мере я с таким не сталкивался.
А что нервирует кстати при обновлении, в чём причина беспокойства?
Олег, при сканировании компа некоторые строчки пишутся красным цветом. В лог исследования попадает отчет об этом сканировании. Но эти строчки красным уже не подсвечены - не критично, в принципе, но лучше б если б подсветились :)
да есть такое, причем одни и теже строчки могут подсвечиваться, а при повторном могут и не подсвечиваться..
вообщем не понятно, когда светяться, коогда нет..