Вышла новая версия антивирусной утилиты AVZ - 4.43

А ещё неплохо бы приравнять задания к прочему автозапуску и чистить их сисклином.

Можно в 22 твик еще добавить очистку этого ключа реестра?

[QUOTE]7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "0http://ertaco.com/cols/accepted2.ruo"
[/QUOTE]

[QUOTE]Полное имя 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Имя файла 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Тек. статус ПОДОЗРИТЕЛЬНЫЙ

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\
0http://ertaco.com/cols/accepted2.ruo

[/QUOTE]

[b]mike 1[/b], так можно сказать из-за этого ключа эта таблетка и появилась :) [url]http://virusinfo.info/showthread.php?t=155719&p=1177844&viewfull=1#post1177844[/url]
Проблема в том, что вирус постоянно восстанавливает эту настройку.

[B]regist[/B] 22 таблетка не смогла сбросить эту надстройку, да и самого вируса уже не было, который добавляет эту надстройку.

1) [quote="mike 1;1196639"]не смогла сбросить эту надстройку[/quote]
не смогла и не проверяет этот ключ это немного разные вещи.
2) [quote="mike 1;1196639"]да и самого вируса уже не было[/quote]
этот настройка сама по себе вирус по класификации ЛК [COLOR="#FF0000"]Trojan.Multy.Proxy.Changer[/COLOR], по этому адресу находится JS скрипт который меняет настройки прокси.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Сейчас проверил работу таблетки на [URL="http://virusinfo.info/showthread.php?t=155719&p=1177917&viewfull=1#post1177917"]этом твике[/URL], значение параметра было обнулено. Так что этот ключ обрабатывает. А почему не смогло сбросить это уже другой вопрос.

[b]thyrex[/b], уже несколько раз замечал, что для того чтобы AVZ перескочил к нужной ветке реестра надо сделать несколько попыток. Для наглядности [URL="http://rghost.ru/59548926"]записал видео.[/URL]

Было бы удобней, если рядом с названием ОС [QUOTE]Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Home Premium" [/QUOTE] ещё выводилась разрядность системы.

Добрый день. Не планируется ли "сетевая" версия AVZ?
Я имею в виду возможность запуска программы на удалённой машине, с отображением результатов в привычном виде на машине хелпера ("хелпер" -в широком смысле).
Такая система позволила бы производить мелкий ремонт и диагностику, не мешая пользователю.
Кроме того, ну и на основании полученных данных раздавать "таблетки" сразу группе пользователей из разных организаций, например.
Ясно, что для этого нужен сервер.

1) [IMG]http://i66.fastpic.ru/big/2014/1216/f1/4ce885a9faed1a3acf11adb54b626bf1.png[/IMG]
[url]http://rghost.ru/59703688[/url]
Экспорта реестра к сожалению нет, но итак понятно, что там должен быть [B]xer[/B]ox почему AVZ решило его так обрезать, не понятно. Или у кибера появилось чувство юмора?

2) [url]http://rghost.ru/59703791[/url]
[URL="https://www.virustotal.com/ru/file/6e8bb755e04972dedd627c90ed29bf9e3af267838cac8862ee28974758c8f739/analysis/"]Мобоген[/URL] опять попал в белый (зелёный) список.

3) [url]http://rghost.ru/59703848[/url] - скорее всего AVZ неправильно распознал юникодное имя файла (предполагаю, что оно было иероглифами)
3.1)
По HTML логу вставляется в скрипт команды
[CODE]begin
QuarantineFile('C:\Documents and Settings\4<8=8AB@0B>@\Local','');
DeleteFile('C:\Documents and Settings\4<8=8AB@0B>@\Local','32');
end.[/CODE]
AVZ ругается на синтаксис.
3.2) В XML логе также ошибки
[IMG]http://i64.fastpic.ru/big/2014/1216/be/01b0f60317ef031423061730c02e8ebe.png[/IMG]
[IMG]http://i66.fastpic.ru/big/2014/1216/af/2880e78a56695d2257ca8e02fc75ddaf.png[/IMG]

[url]http://virusinfo.info/attachment.php?attachmentid=518718&d=1419241150[/url] опять косяк с экранированием кавычек.
Строка №5
[HTML] <ITEM PID="6864" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2011, NTI Corporation. All rights reserved." Hidden="0" CmdLine="&quot;C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="296984" Attr="rsAh" CreateDate="05.01.2012 13:21:44" ChangeDate="05.01.2012 13:21:44" MD5="4DDE3E01B5020B3D5DEEC7E3DC0F3185" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.100" IsPE="1" />[/HTML]

[QUOTE=antanta;1200403]Добрый день. Не планируется ли "сетевая" версия AVZ?
Я имею в виду возможность запуска программы на удалённой машине, с отображением результатов в привычном виде на машине хелпера ("хелпер" -в широком смысле).
Такая система позволила бы производить мелкий ремонт и диагностику, не мешая пользователю.
Кроме того, ну и на основании полученных данных раздавать "таблетки" сразу группе пользователей из разных организаций, например.
Ясно, что для этого нужен сервер.[/QUOTE]
Собственно, AVZ изначально и появился как сетевой :) А потом к нему был приделан GUI (изначально попросту секции лога в XML шли на сервер, оттуда в ответ - скрипты). Но это неудобно, так как нужно держать запущенного агента AVZ все время и иметь постоянную IP достижимость до сервера, на сервере нужна серьезная БД, некий GUI.... Сейчас в КВС все проще - скрытно запускается AVZ (rexec, доменная политика, агентом антивируса или через управляемое через домен задание планировщика), он собирает логи и карантины невидимо для пользователя и шлет по FTP на сервер админам. Там все это изучается (вручную, автоматом, полуавтоматом), и если нужно, идет формирование и запуск скрипта тем же образом. Но в КВС такие фокусы, как запуск толком не проверенных скриптов во время работы пользователя - весьма опасная затея, потому практикуется редко, например в случае лечения эпидемий.

[url]http://virusinfo.info/showthread.php?t=176254[/url]

Adware попало в базу чистых файлов. :(

[QUOTE]
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
[/QUOTE]

[IMG]http://i.imgur.com/aUEV4ZF.png[/IMG]

[url]https://www.virustotal.com/ru/file/dd1517b569a8403848a3122ad05ab5c308c7c4f139af23a6894adefaa61f2d85/analysis/[/url] (правда в моем случае хэш md5 может быть другим)

Навеяно [B]в очередной раз[/B] темой [url]http://virusinfo.info/showthread.php?t=177699[/url], где пришлось собирать скрипт несколько раз

[B]Олег[/B], Вас уже просили, чтобы в логах файлы в секциях
[QUOTE]Модули пространства ядра
Автозапуск
Модули расширения Internet Explorer (BHO, панели ...)
Подозрительные объекты[/QUOTE]
+ загруженные dll под списком процессов шли без подчеркивания и не срабатывали как ссылки, которые обнуляют скрипт и приходится все повторять заново

[b]Зайцев Олег[/b],
1) [url]http://rghost.ru/7zw4SFHHV[/url]
Опять косяк с экранирование кавычек. Строка: 30, Символ: 334
[HTML] <ITEM PID="5768" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0" CmdLine="&quot;C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE&quot; /n &quot;C:\Users\kapustin.es\AppData\Local\Temp\Rar$DI67.288\Отчет за сентябрь 2014.docx /o """ Size="1922712" Attr="rsAh" CreateDate="21.01.2015 14:59:54" ChangeDate="21.01.2015 14:59:54" MD5="1E8A06F4AB44FAA82935D22C93BD9EAB" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4693.1000" IsPE="1" />[/HTML]

2) AVZ регулярно не дочищает задания. По логу AVZ задание как бы удалено и больше не видно, а потом запрашиваешь лог Farbar или AdwCleaner (by Xplode)
К примеру в логе FRST это выглядит так
[CODE]Task: {4A2EEFCC-1E14-49F5-8E9C-4E4111DDB3BD} - \chrome5_logon No Task File <==== ATTENTION
Task: {91E48151-635F-4E70-8053-3FBBC357C6AF} - \chrome5 No Task File <==== ATTENTION
Task: {B56BE3D5-B911-47D1-A4E8-D4789C7F749D} - \SystemScript No Task File <==== ATTENTION[/CODE]
После удаления этих ошмётков часто и проблема юзера уходит.
Возможно эта бага связана как раз с тем, что составление скрипта AVZ по логу AVZ не учитывается разрядность (на x64 ситемах всегда вставляется этот параметр независимо от того нужно отключать редирект или не нужно).

PS. и полиморф не помешало бы обновить. С начала Июня там базы не обновлялись ;). А раньше как минимум раз в месяц пересобирался.

[quote="regist;1232669"]2) AVZ регулярно не дочищает задания. По логу AVZ задание как бы удалено и больше не видно, а потом запрашиваешь лог Farbar или AdwCleaner (by Xplode)[/quote]
Свежий случай на другом форуме [b]thyrex[/b], по логу AVZ написал команды для удаления
[CODE]DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');[/CODE]
[SPOILER=скрипт thyrex целиком][CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
SetServiceStart('WindowsMangerProtect', 4);
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Users\123\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Users\123\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
DeleteService('WindowsMangerProtect');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/CODE][/SPOILER]
В свежих логах AVZ в планироващике задания этого задания нет, а в позже запрошенных логах AdwCleaner (by Xplode) оно видно ;)
[QUOTE]***** [ Scheduled tasks ] *****

Task Found : chrome5
Task Found : chrome5_logon
[/QUOTE]
В карантинах кибера эта малварь (InstallAddons.exe запускающийся через такие задания) вроде должна быть.

Провел эксперимент в теме [url]http://virusinfo.info/showthread.php?t=177840[/url]

При составлении скрипта параметр при удалении заданий вручную сменил на [B]32[/B] вместо предлагаемого [B]64[/B]. Случайно пропустил для одного задания, и в итоге запись от него все равно осталась в логе Addition.txt :O

Вот такую подмену ярлыков
[QUOTE]>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr (2).lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\mozilla firefox\firefox.bat"] -> start "" /I /B /D "c:\PROGRA~2\MOZILL~1\" "c:\PROGRA~2\MOZILL~1\firefox.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\users\user\appdata\local\yandex\yandexbrowser\application\browser.bat"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\browser.exe" -- hxxp://search-poysk.ru

>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вконтакте.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\opera\launcher.bat"] -> start "" /I /B /D "c:\PROGRA~2\opera\" "c:\PROGRA~2\opera\launcher.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk" -> ["C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.bat" => --load-and-launch-app="C:\Program Files (x86)\Common Files\{37B535B0-B061-4F4E-AD6E-6D8458269203}\0.8"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\browser.exe" -- hxxp://search-poysk.ru[/QUOTE]утилита не видит

2015-03-01 12:25 был обновлён полиморфный AVZ

[QUOTE]1. В описании процессов и DLL ссылки удалены, сведения по файлу вынесены в столбец с описанием файла (для DLL это ранее был столбец с MD5)

2. В всех остальных секциях ссылки удалены, а то, что выводилось в них, выводится более мелким шрифтом под именем файла

3. Важные моменты в данных по файлу (создан с пределах последних 2 недель, атрибуты "скрытый" и "системный") выделяются цветом и жирностью, чтобы сразу бросалось в глаза

4. Добавлены сведения по файлам в планировщике заданий (ранее их не было)

5. Добавлен нормальный парсинг имен файлов и фильтрация по базе чистых в менеджере протоколов (ранее почему-то он там не был подключен)[/QUOTE]


в обычной версии [QUOTE]Добавил пилюлю №23. Она делает резервную копию политик Google, после чего уничтожает их из реестра в HKLM и HKCU (базы уже вышли, после обновления данная пилюля появится в списке доступных)[/QUOTE]

Здравствуйте, Олег !

[quote]
Версия Windows: 6.2.9200, "Windows 10 Pro Technical Preview" ; AVZ работает с правами администратора
[/quote] [url]http://forum.oszone.net/post-2478143.html#post2478143[/url]

Здесь неверно определило название ОС.
Можно ли сделать что-то наподобие этого:
[spoiler]
[code]

Select Case MajorMinor_
Case 10
OSName_ = "Windows 10" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
Case 6.4
OSName_ = "Windows 10 Technical Preview" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
Case 6.3
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows 8.1"
Else
OSName_ = "Windows Server 2012 R2"
End If
Case 6.2
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows 8"
Else
OSName_ = "Windows Server 2012"
End If
Case 6.1
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows 7"
Else
OSName_ = "Windows Server 2008 R2"
End If
Case 6
If osi.wProductType = VER_NT_WORKSTATION Then
OSName_ = "Windows Vista"
Else
OSName_ = "Windows Server 2008"
End If
Case 5.2
If GetSystemMetrics(SM_SERVERR2) Then
OSName_ = "Windows Server 2003 R2"
ElseIf osi.wSuiteMask And VER_SUITE_STORAGE_SERVER Then
OSName_ = "Windows Storage Server 2003"
ElseIf osi.wProductType = VER_NT_WORKSTATION And Bitness_ = "x64" Then
OSName_ = "Windows XP"
Edition_ = "Professional"
Else
OSName_ = "Windows Server 2003"
End If
Case 5.1
OSName_ = "Windows XP"
If osi.wSuiteMask = VER_SUITE_PERSONAL Then
Edition_ = "Home Edition"
Else
Edition_ = "Professional"
End If
Case 5
OSName_ = "Windows 2000"
If osi.wProductType = VER_NT_WORKSTATION Then
Edition_ = "Professional"
Else
If osi.wSuiteMask And VER_SUITE_DATACENTER Then
Edition_ = "Datacenter Server"
ElseIf osi.wSuiteMask And VER_SUITE_ENTERPRISE Then
Edition_ = "Advanced Server"
Else
Edition_ = "Server"
End If
End If
Case Else
OSName_ = "Windows Unknown" & "(ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
End Select
[/code]
[/spoiler]

[quote="Dragokas;1239249"]Можно ли сделать что-то наподобие этого:[/quote]

[b]Dragokas[/b], как раз из-за этого и просили добавить в лог название ОС, что по билдам вечно была путаница. Так что пользы будет меньше чем сейчас. Если менять, то чтение ключа реестра на определение через WinAPI.

[b]regist[/b], спасибо за поправку. Я как раз и подразумевал, что Major / Minor также должен браться не из реестра,
а через функцию GetVersion или GetVersionEx. При этом в манифесте приложения нужно обязательно прописать совместимость с Windows 8/8.1/(10), иначе 8.1. определится как 8.0).
А название определяется именно по этим параметрам. Более родного способа нет.

Только у этого способа есть один минус, если выйдет новая версия ОС (а майкрософт последнее время с этим зачастила) то пока не выйдет новая версия AVZ будет написано unknown версия. А учитывая частоту выхода новых версий AVZ это не очень радует. Правда зато не будет недоразумений со всякими сборками и просто любителями поправить в реестре название ОС.

[URL="http://rghost.ru/8FdRwTz7q"]Опять косяк с экранированием кавычек.[/URL]
[HTML]<ITEM PID="4860" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2010, NTI Corporation. All rights reserved." Hidden="0" CmdLine="&quot;C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="297280" Attr="rsAh" CreateDate="09.03.2011 18:10:04" ChangeDate="09.03.2011 18:10:04" MD5="EC124B84101FEC0A7D6745ED5DD91AD6" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.90" IsPE="1" />[/HTML]

На Windows 8 / 8.1 всегда пишет, что:
">> Таймаут завершения служб находится за пределами допустимых значений"

[QUOTE=Dragokas;1239249]Здравствуйте, Олег !

[url]http://forum.oszone.net/post-2478143.html#post2478143[/url]

Здесь неверно определило название ОС.
Можно ли сделать что-то наподобие этого:
[/QUOTE]
Можно - и придется постоянно править потом ... как вариант, можно такой код вытащить в обновляемую базу, и по мере появления новых комбинаций версий/подверсий обновлять базу

[size="1"][color="#666686"][B][I]Добавлено через 25 секунд[/I][/B][/color][/size]

[QUOTE=regist;1241386][URL="http://rghost.ru/8FdRwTz7q"]Опять косяк с экранированием кавычек.[/URL]
[HTML]<ITEM PID="4860" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2010, NTI Corporation. All rights reserved." Hidden="0" CmdLine=""C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="297280" Attr="rsAh" CreateDate="09.03.2011 18:10:04" ChangeDate="09.03.2011 18:10:04" MD5="EC124B84101FEC0A7D6745ED5DD91AD6" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.90" IsPE="1" />[/HTML][/QUOTE]
В полиморфе или в публичной версии ?

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

[QUOTE=Dragokas;1248394]На Windows 8 / 8.1 всегда пишет, что:
">> Таймаут завершения служб находится за пределами допустимых значений"[/QUOTE]
А что там в ключике HKLM\SYSTEM\CurrentControlSet\Control, параметр 'WaitToKillServiceTimeout' ? Я посмотрел на тестовой системе, там параметр 5000, что в принципе мало конечно ...

[quote="Зайцев Олег;1248740"]В полиморфе или в публичной версии ?[/quote]
в публичной.
[quote="regist;1241386"][URL="http://rghost.ru/8FdRwTz7q"]Опять косяк с экранированием кавычек.[/URL][/quote]
это кликабельно и там архив с логами.

[QUOTE=Зайцев Олег;1248740]Можно - и придется постоянно править потом ... как вариант, можно такой код вытащить в обновляемую базу, и по мере появления новых комбинаций версий/подверсий обновлять базу
[/quote]
Как вариант, если выйдет новая версия, то вместо Windows Unknown перейти к "старой" ветви кода (прочесть эти данные из реестра).
[QUOTE=Зайцев Олег;1248740]
А что там в ключике HKLM\SYSTEM\CurrentControlSet\Control, параметр 'WaitToKillServiceTimeout' ? Я посмотрел на тестовой системе, там параметр 5000, что в принципе мало конечно ...[/QUOTE]
Мало, согласен. Но не изменяет того факта, что для них это дефолт.
Win 8 x32 - 5000
Win 8.1 x64 - 5000
Win 10 Tech Preview x32 (10.0.9926) - 5000

[b]Зайцев Олег[/b], уже несколько раз при попытке заархивировать карантин AVZ через просмотр карантина (GUI) наблюдал такую ошибку

[IMG]http://i68.fastpic.ru/big/2015/0327/4a/ac086ff95338a85d7ba05d2ad8ad164a.png[/IMG]

НА выходе вместо архива virus.zip получаем virus.Z01
Если протестировать его на ошибки, то требует следующий том.
При нажатие Ок и повторной попытке заархивировать, архивируется уже нормально.

[b]Зайцев Олег[/b], Здравствуйте Олег! Не выполняется ни один скрипт в AVZ (пробовал как любой стандартный, так и произвольный с удалением одного файла), каждый раз ошибка "Неверный блок на устройстве \\device\harddisk5\DR5", к компьютеру подключен картридер, думаю дело в нем. Возможно ли это исправить?
Прикладываю скриншот, на нем видно что картридер в AVZ определяется, в мой компьютер тоже виден и в диспетчере устройств виден. Кстати, если на ошибке нажимать Отмена Повторить или Продолжить то ошибка появляется снова.[ATTACH=CONFIG]550542[/ATTACH]

[quote=regist]thyrex, уже несколько раз замечал, что для того чтобы AVZ перескочил к нужной ветке реестра надо сделать несколько попыток. [/quote]
Зайцев Олег, хочу предложить Вам сделать этот алгоритм более надежным и быстрым.
Редактор реестра умеет сам открывать в нужном (ранее сохраненной позиции) разделе.
Так что:
1) Проверка - если есть процесс regedit.exe -> убиваем.
2) Узнаем язык отображения диалоговых окон:
[code]lcode = oShell.RegRead ("HKCU\Software\Microsoft\Windows\CurrentVersion\Controls Folder\Presentation LCID")[/code]
и язык установки ОС:
[code]lcode = oShell.RegRead ("HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language\InstallLanguage")[/code]
3) Определяем нужный префикс по такой логике:
[code]lcode = GetInterfaceLangCode()
if lcode <> 0 then
if lcode = 1033 then CompPrefix = "Computer\" else CompPrefix = "Компьютер\"
else
if GetOSInstallLangCode() = "0409" then CompPrefix = "Computer\" else CompPrefix = "Компьютер\"
end if[/code]
4) Префикс вместе с полным именем куста и путем ключа, где нужно открыть редактор реестра подставляем сюда:
[code]rData = "HKEY_CURRENT_USER\Environment" '<----- какой-нибудь ключ (только ключ, не параметр !!!)
oShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Lastkey",CompPrefix & rData,"REG_SZ"[/code]
5) Запускаем regedit
6) Дальше Ваша часть кода, с помощью которой Вы подсвечиваете сам параметр.

С уважением.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Подумал, наверное, слишком сложно написал.
HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit => [B]Lastkey[/B]
здесь хранится инфа о последнем разделе, в который заходили, с момента закрытия редактора реестра, например:
значение = [B]Компьютер\[/B]HKEY_CURRENT_USER\Environment
Чтобы узнать как называется префикс, достаточно прочитать его из этого же параметра Lastkey и распарсить до знака \.

[quote="chinaski;1253438"]Не выполняется ни один скрипт в AVZ (пробовал как любой стандартный, так и произвольный с удалением одного файла), каждый раз ошибка "Неверный блок на устройстве \\device\harddisk5\DR5", к компьютеру подключен картридер, думаю дело в нем. Возможно ли это исправить?[/quote]
тоже пару раз сталкивался с подобной ошибкой. Тогда это устройство в окне "Мой компьютер" не отображалось. В идеале вообще исправить эту ошибку (так как в таких случаях в логе TDDSKiller-а устройства с таким с таким порядковым номером нету и кроме AVZ его никто не видит). Или хотя бы починить работу кнопки пропустить, или чтобы после нескольких попыток AVZ сам пропускал это недоступное устройство.

[quote="Dragokas;1253459"]Зайцев Олег, хочу предложить Вам сделать этот алгоритм более надежным и быстрым.
Редактор реестра умеет сам открывать в нужном (ранее сохраненной позиции) разделе.[/quote]
было бы не плохо, если бы это поправили, а то в текущем варианте происходит [URL="http://virusinfo.info/showthread.php?t=155719&p=1095056&viewfull=1#post1095056"]имитация нажатия клавиш клавиатуре[/URL], в итоге часто открывает только после нескольких попыток. Даже видео в этой теме [URL="http://virusinfo.info/showthread.php?t=155719&p=1198479&viewfull=1#post1198479"]выкладывал[/URL].

[url]http://z-oleg.com/secur/avz/upload_qr.php[/url]
[QUOTE]Максимальный размер загружаемого карантина - 20 Мб, файлы большего размера игнорируются.[/QUOTE]я так понимаю информация устарела?
[QUOTE]Ошибка: Файл не является карантином AVZ !
Возможные причины:
файл не является карантином, созданным утилитой AVZ;
[B]файл превышает по объему 80 мб; [/B]
в ходе передачи файла возникли сбои[/QUOTE]
[SIZE=1]Правда я грузил карантин размером всего 2,8 MB, так что причина была не в размере.[/SIZE]

[b]Зайцев Олег[/b], а можно добавить в AVZ команду IsAdmin - для проверки запущен ли AVZ с правами администратора.

[URL="http://virusinfo.info/showthread.php?t=181036"]ошибка в AVZ[/URL] - ошибка "Invalid data type for 'Dllname'" при выполнении очистки через "Мастер поиска и исправления проблем".

[quote="Vvvyg;1256912"]ошибка "Invalid data type for 'Dllname'"[/quote]
[URL="http://u.to/r4VkCQ"]вот[/URL] тут аналогичная ошибка была. Как я понял AVZ не нравится тип данных ключа реестра.

[QUOTE=regist;1256556]а можно добавить в AVZ команду IsAdmin - для проверки запущен ли AVZ с правами администратора.[/QUOTE]

Или просто сделать заранее инициализированной переменной, по типу IsWOW64.

[quote="Vvvyg;1257945"]по типу IsWOW64[/quote]
я это и имел ввиду. Пишешь команду IsAdmin а она тебе возвращает true или false

[b]Зайцев Олег[/b], доброго времени суток!
Нашел ошибку в интерфейсе AVZ, сказали что об ошибках нужно сообщать сюда.
Ошибка с кнопками "Пуск" и "Прервать работу скрипта", во время работы, кнопка "Пуск" перекрывает часть другой кнопки.
[SPOILER][ATTACH=CONFIG]554287[/ATTACH][/SPOILER]

[b]Зайцев Олег[/b], возникла ошибка после выполнения стандартного скрипта №8. (ниже скрин)
[SPOILER][ATTACH=CONFIG]554721[/ATTACH][/SPOILER]

[QUOTE=KPOBOCICb;1260372][b]Зайцев Олег[/b], возникла ошибка после выполнения стандартного скрипта №8. (ниже скрин)
[SPOILER][ATTACH=CONFIG]554721[/ATTACH][/SPOILER][/QUOTE]
дополню, что ключевым моментом здесь наверняка является архивация в ZIP архив (после окончания карантина файлов). На несколько постов выше [URL="http://virusinfo.info/showthread.php?t=155719&p=1252429&viewfull=1#post1252429"]писал об этой ошибке[/URL]. В смысле если даже не запускать скрипт сбора карантина, а допустим собрать карантин на одной машине, а архивировать на другой на другой, то всё равно можно получить эту ошибку.
Возможно размер архива имеет значение? У меня по крайней мере это на больших архивах для пополнения базы происходило.
[b]KPOBOCICb[/b], у вас размер итогового архива сколько был?