AVZ 4.30

[QUOTE=sergey888;223802]Но почему на форуме не возможно найти никакой информации об этом. Об AVZ сколько угодно, а о APS никакой. Что тут на форуме эта программа никого не заинтересовала ???
Хотелось бы увидеть отзывы людей помогла ли она хоть кому, а найти ничего не возможно. ;)[/QUOTE]
Вот, есть кое-что :)
[url]http://virusinfo.info/showthread.php?t=6342[/url]
[url]http://virusinfo.info/showthread.php?t=9416[/url]

Олег, увидел кстати такую закономерность -
1. AVZ, как ни крути, не хочет проверять файлы в подкаталогах
в каталоге корня где находится сам AVZ. И почему то не делает
рескан этих подкаталогов. Т.е. вот у меня он установлен в каталоге
c:\my\Avz, (c:\my - юзерный), если живность завилась в c:\my\0\ -
то проверок ее он не делает...
2. Голословно при проверке архива 7z (запароленного)- говорит что он
чист, но про пароль и живность внутри забывает(забивает?).

[quote=svp;224881]Олег, увидел кстати такую закономерность -
1. AVZ, как ни крути, не хочет проверять файлы в подкаталогах
в каталоге корня где находится сам AVZ. И почему то не делает
рескан этих подкаталогов. Т.е. вот у меня он установлен в каталоге
c:\my\Avz, (c:\my - юзерный), если живность завилась в c:\my\0\ -
то проверок ее он не делает...
2. Голословно при проверке архива 7z (запароленного)- говорит что он
чист, но про пароль и живность внутри забывает(забивает?).[/quote]
1. Это так специально и сделано. Иначе AVZ залечит свои собственные карантины ... Это описано в документации и кажется (не уверен на 100%) есть ключ командной строки, который отключает эту фичу
2. AVZ не проверяет архивы 7z - это довольно экзотический формат, в зловредах не применяется
2.1 AVZ, равно как и любой антивирус, вообще не проверяет запароленные архивы - пароля то он не знает. Для базовых типов архива есть фича - можно задать через скрипт или командную строку пароль по умолчанию для запароленных архивов

[quote=Зайцев Олег;224898]1. Это так специально и сделано. Иначе AVZ залечит свои собственные карантины ... Это описано в документации и кажется (не уверен на 100%) есть ключ командной строки, который отключает эту фичу
2. AVZ не проверяет архивы 7z - это довольно экзотический формат, в зловредах не применяется
2.1 AVZ, равно как и любой антивирус, вообще не проверяет запароленные архивы - пароля то он не знает. Для базовых типов архива есть фича - можно задать через скрипт или командную строку пароль по умолчанию для запароленных архивов[/quote]

Нет, со вторым пунктом вы не правы. Ничего экзотического. Как раз сейчас 7-zip архивы очень распостраненны. И часто используются для запаковки файлов с вирусами так как многие антивирусы 7-zip не понимают. Да и просто по распостраненности этот архиватор второй после WinRar. ;)

+1 в поддержку 7-zip

[quote=sergey888;224904]Нет, со вторым пунктом вы не правы. Ничего экзотического. Как раз сейчас 7-zip архивы очень распостраненны. И часто используются для запаковки файлов с вирусами так как многие антивирусы 7-zip не понимают. Да и просто по распостраненности этот архиватор второй после WinRar. ;)[/quote]
Со вторым пунктом я более чем прав ... 7-zip не распространен вообще (хотя обычно бывает так - человек пользуется чем-то, и думает, что именно оно очень распространено :) У нас одно подразделение пользуется ARJ древней версии под DOS, и всем доказывают, что это самый мощный и популярный в мире архиватор). А на самом деле 7-zip неизвестный науке формат, стандартом не является и система без установки дополнительного ПО не может распаковать такой файл (в отличие от CAB и ZIP). Следовательно, насколько станет лучше работа AVZ, если он станет проверять файлы в 7z архивах ?! ITW зловредов, рассылающих себя в 7z архивах нет, в обозримом времени не будет... а если кто-то присылает что-то, то собственно если хоть как-то пытаться изучать семплы, то их всеравно нужно извлечь из архива.

[QUOTE=Зайцев Олег;224912]А на самом деле 7-zip неизвестный науке формат[/QUOTE]Хм... Но он же открыт?!

[quote=Maxim;224915]Хм... Но он же открыт?![/quote]
И что из этого вытекает !? Я например знаю не менее полусотни открытых форматов сжатия, о которых большинство даже и не подозревает (если конечно не читали книги по теории сжатия информации и не видели описание этих алгоритмов). Операционная система не поддерживает формат 7z, и соотвесттвенно пользователь не может открыть такой архив без установки дополнительного ПО. А форматы CAB и ZIP поддерживаются встроенными средствами системы. Следовательно, если скажем почтовый червяк будет рассылать себя (или ссылку на себя) в ZIP, его смогут открыть 100% пользователей XP. А если в 7-zip, то может около 1%, а может и того меньше - те, кто его скачал и установил. Я провожу разную статистику, так вот по ней подавляющее большинство юзеров даже не знают о такм формате и никогда с ним не встречались. Проверить эту гипотезу крайне просто - поискать, в каком формате раздают файлы производители ПО и софтверные сайты :)

[QUOTE=sergey888;224904] Да и просто по распостраненности этот архиватор второй после WinRar. ;)[/QUOTE]Ну а первым был и остается все-так WinZip :) 7z был и остается экзотикой. Да и Олег тут прав: некоторые фирмы просто привыкли к какому-то формату пакера и работают с ним. Еще можно LHA, TAR (любимец Модзиллы и Линукса) и GZIP вспомнить.

[quote=Rene-gad;224927]Ну а первым был и остается все-так WinZip :) 7z был и остается экзотикой. Да и Олег тут прав: некоторые фирмы просто привыкли к какому-то формату пакера и работают с ним. Еще можно LHA, TAR (любимец Модзиллы и Линукса) и GZIP вспомнить.[/quote]
GZIP и TAR кстати поддерживаются в AVZ - именно из-за их поддержки в Linux, что делает их стандартов де-факто и в этом формате распространяется множество всего. Еще я в свое время сделал в AVZ поддержку CHM - он одно время был популярен как контейнер для ряда зловредов, да и сейчас он не менее опасен -работу с ним поддерживает система, и внутрь CHM архива можно поместить что угодно, например HTML страничку с зловредным скриптом + EXE. И файлы формата MSI поддерживаются - это стандарт инсталляции MS.

Олег а что будет если зверька запаковать в SFX архив на базе 7-zip(c LZMA сжатием)? ;)

[quote=Rene-gad;224927]Ну а первым был и остается все-так WinZip :) 7z был и остается экзотикой. Да и Олег тут прав: некоторые фирмы просто привыкли к какому-то формату пакера и работают с ним. Еще можно LHA, TAR (любимец Модзиллы и Линукса) и GZIP вспомнить.[/quote]

Откуда вы такое взяли. WinZip пользуется все меньше и меньше людей. WinRar действительно очень распостранен. А 7-Zip сейчас установлен на каждом втором компе. Возьмите любую сборку винды или любой сборник софта на диске или просто раздающийся в интернете и там обязательно присутствует 7-Zip, пройдитесь по антивирусным форумам и помотрите сколько людей просит ввести поддержку формата 7-Zip. Плюс он все больше распостранен так как соотношение качество сжатия и скорость сжатия у него лучше чем у любого другого архиватора, плюс он бесплатный и мало весит.
Я не знаю не одного человека который бы не пользовался 7-Zip и знаю всего двух кто еще продолжает пользоваться WinZip.

P.S. Фактически я думаю что 7-Zip полностью заменит WinZip так как он делает тот же Zip архив но на 1-2% меньшего размера.

P.S.2 Чтобы вам было лучше понятно сейчас взял программу RapidUploader размер до сжатия 969Кб
1) Сжал WinRar - 934Kb
2) Сжал WinZip - 935Kb
3) Сжал 7-Zip - 467Kb

Это конечно не говорит об распостраненности 7-Zip, но зато говорит о том почему он так распостранен. Хотя может быть вы просто крутитесь на сайтах подобных вашему и не в курсе дела. Но назвать 7-Zip мало распостраненным ммммммда это прикол.

В справке AVZ написано:
[quote]procedure DelBHO(BHO : string);

Удаляет BHO с указанным CLSID. CLSID рекомендуется передавать без фигурных скобок. [/quote]

А в протокле исследования системы, если нажать "удалить" для какого-нибудь BHO, чтобы добавить команду удаления в скрипт, добавляется команда DelBHO, где CLSID передается с [I]фигурными[/I] скобками. Надо бы это поправить :)

[quote=Зайцев Олег;224922] Следовательно, если скажем почтовый червяк будет рассылать себя (или ссылку на себя) в ZIP, его смогут открыть 100% пользователей XP. А если в 7-zip, то может около 1%, а может и того меньше - те, кто его скачал и установил. [/quote]

C чего это вдруг. Даже если следовать вашей логике то 1% откроет 7-zip архив с помощью 7-zip, остальные 99% с помощью WinRar :D

добрый день, при сканировании утилитой AVZ выводится сообщение на некоторые файлы
Прямое чтение C:\ (перечислять не буду)
Вопрос, что это такое и с чем это едят, может немного не по адресу но через поиск по сайту схожих тем не нашёл. заранее спасибо

[QUOTE=alex_605;225025]добрый день, при сканировании утилитой AVZ выводится сообщение на некоторые файлы
Прямое чтение C:\ (перечислять не буду)
Вопрос, что это такое и с чем это едят, может немного не по адресу но через поиск по сайту схожих тем не нашёл. заранее спасибо[/QUOTE]

Прямое чтение применяется AVZ когда невозможно открыть файл обычными средствами на чтение. Суть его - получение списка кластеров на которых хранятся данные с помощью обращения к драйверу файловой системы. А потом чтение этих кластеров.

Так прямое чтение это опасно или нет? почему оно подсвечивается красным цветом? Это читает только сама утилита или могут посторонние читать эти файлы и получать к ним доступ?

[QUOTE=alex_605;225045]Так прямое чтение это опасно или нет? почему оно подсвечивается красным цветом? Это читает только сама утилита или могут посторонние читать эти файлы и получать к ним доступ?[/QUOTE]

[URL="http://virusinfo.info/showthread.php?t=1235"]Вам в раздел "Помогите" (Правила прочтите)[/URL]

[QUOTE=zerocorporated;225052][URL="http://virusinfo.info/showthread.php?t=1235"]Вам в раздел "Помогите" (Правила прочтите)[/URL][/QUOTE]
так мою тему из этого раздела и перенесли сюда, т.к. она там не по адресу была создана. Просто нигде я не нашёл что это такое и опасно или нет это? неужели не у кого небыло таких сообщений во время сканирования прогой? Если не трудно прошу ответить в этой ветке форума. Заранее спасибо.

[QUOTE=alex_605;225054]Если не трудно прошу ответить в этой ветке форума. Заранее спасибо.[/QUOTE]

У Вас был вопрос по AVZ поэтому сообщение тут, если вопрос по вашему компьютеру, то согласно вышеприведённой ссылке с логами в форум "помогите". Если не трудно, прочтите и сделайте.

В менеджере открытых портов, на вкладке UDP еще остались глюки мультиязычности вида: $AVZ0955

Добавить механизм возвращения ключей в стандартное положение для для того чтобы иметь возможность видеть скрытые файлы и расширения.
Например вот такой, довольно популярный троян. Можно посмотреть ключи которые меняет тут:
[url]http://www.threatexpert.com/report.aspx?uid=048e9431-4ae5-4af5-b0d2-0e1f1a66644f[/url]

[QUOTE=drongo;225351]Добавить механизм возвращения ключей в стандартное положение для для того чтобы иметь возможность видеть скрытые файлы и расширения.
Например вот такой, довольно популярный троян. Можно посмотреть ключи которые меняет тут:
[url]http://www.threatexpert.com/report.aspx?uid=048e9431-4ae5-4af5-b0d2-0e1f1a66644f[/url][/QUOTE]

Ну есть же скрипт №8... вы хотите копию его только видоизмененного?

Линк [url]http://www.z-oleg.com/secur/avz/download.php[/url]
[q]Error connecting to database.
Please try again.[/q]
То что с зеркал на обменниках народ плохо качает, так это потому что народ сидит за Nat в основном. С рапиды можно неделю ждать и так не скачать.

[quote=zerocorporated;225363]Ну есть же скрипт №8... вы хотите копию его только видоизмененного?[/quote]
Проблема в том, что совсем не давно с этим зверем пользователь был, прописал 6,8 - всё равно пользователь не может поставить расширение файлов, чтобы было видно.Поэтому прошу Олега пересмотреть алгоритм лечения, как эталон заражения взять этого зверя.Если слишком трудоёмко, то добавить отдельно восстановление" видимости расширений".

[QUOTE=drongo;225379]
Если слишком трудоёмко, то добавить отдельно восстановление" видимости расширений".[/QUOTE]

Мастер устранения проблем за ошибку считает НЕ показ расширений:

Показ скрытых осталось добавить...

[quote=zerocorporated;225444]Мастер устранения проблем за ошибку считает НЕ показ расширений:

Показ скрытых осталось добавить...[/quote]
Да, это идет как "проблема очень низкой тяжести", по умолчанию это не предлагается.
Я могу сделать аналогичную фичу в визарде или отдельный стандартный скрипт, типа "включить показ скрытых и системных файлов" и соответственно "Отключить показ скрытых и системных файлов"

[quote=Зайцев Олег;225498]Да, это идет как "проблема очень низкой тяжести", по умолчанию это не предлагается.
Я могу сделать аналогичную фичу в визарде или отдельный стандартный скрипт, типа "включить показ скрытых и системных файлов" и соответственно "Отключить показ скрытых и системных файлов"[/quote]
на твой выбор, главное чтобы было ;)

Здравствуйте. :boast:
[quote=U$er;222908]После проверки всех дисков и перезагрузки в системе обнаружено неопознаное новое устройство. В диспетчере устройств оно так и висит всё время.
Что бы это могло быть?[/quote]
[quote=Зайцев Олег;222909]AVZGuard включался ? В любом случае стоит выполнить "Файл\Стандартные скрипты" в AVZ, там отметить скрипт номер 6, нажать кнопку выполнения и затем перезагрузиться. Может быть, это "хвост" от AVZGuard[/quote]
Подтверждаю слова Олега. Такой же глюк встретил на трёх своих ЭВМ. :gamer1: Причём после выполнения 3 cкриптов(кады сразу друг за другом идут). (2,3,4) Ежели их делать по отдельности. Глюков не наблюдал.:give_heart:
Я, кроме 6 скрипта, ещё и это вновь появившиеся устройство убивал.:soldier:
(до этого просто отключал) Так вот, после удаления и выполнения 6 стандатрного скрипта, глюк пропадает и больше не возвращаеться.:sarcastic_blum:

Можно настроить таймер на правелный учёт оставшегося времени, через вычисление среднего значения проверки одного файла?

[quote=Биомеханик;226784]Можно настроить таймер на правелный учёт оставшегося времени, через вычисление среднего значения проверки одного файла?[/quote]
А он именно так и считается. Расчитывается среднее время, затрачиваемое на проверку файла и умножается на кол-во оставшихся файлов. Но этот прогноз весьма приближенный - невозможно точно узнать, сколько времени уйдет на проверку каждого объекта, поэтому оценка носит информационный характер и если проследить за прогресс индикатором и прогнозом оставшегося времени в AVZ, то несложно заметить, что он меняется в процессе работы нелинейно - за счет уточнения.

Зайцев Олег,
[code]O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe[/code]
нет упоминания в логах avz, посмотри пожалуйста.
[url]http://virusinfo.info/showthread.php?t=23042[/url]

[quote=drongo;228635]Зайцев Олег,
[code]O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe[/code]
нет упоминания в логах avz, посмотри пожалуйста.
[URL]http://virusinfo.info/showthread.php?t=23042[/URL][/quote]
Лог AVZ virusinfo_syscure - файла нет, Сканирование завершено в 18.05.2008 21:36:41
Лог AVZ virusinfo_syscheck - там C:\WINDOWS\system32\tavo.exe есть в логе, в менеджере автозапуска, Сканирование завершено в 18.05.2008 21:47:30.
Лог HJT:Scan saved at 21:48:31, on 18.05.2008, файл есть
Т.е. как всегда, мы наблюдаем процесс во времени - на момент создания первого лога AVZ этой записи еще не было, а на момент снятия второго лога и лога HJT он уже появился

[quote=Зайцев Олег;228649]Лог AVZ virusinfo_syscure - файла нет, Сканирование завершено в 18.05.2008 21:36:41
Лог AVZ virusinfo_syscheck - там C:\WINDOWS\system32\tavo.exe есть в логе, в менеджере автозапуска, Сканирование завершено в 18.05.2008 21:47:30.
Лог HJT:Scan saved at 21:48:31, on 18.05.2008, файл есть
Т.е. как всегда, мы наблюдаем процесс во времени - на момент создания первого лога AVZ этой записи еще не было, а на момент снятия второго лога и лога HJT он уже появился[/quote]
спасибо ;)
Но тут интересен момент, каво и таво всегда вместе идут, насчёт времени не согласный я ;) Что-то тут по хитрее, поэтому и спросил.

Привет,
не знал где написать - пишу сдесь.
На компе начали время от времени вылезать BSOD: 0x00000050: PAGE_FAULT_IN_NONPAGED_AREA. Причем было указано что возможная причина файл: uzqwnji5.sys, расположенный в папке /drivers. При просмотре этого файла оказалось что это AVZ monitoring Driver (или чтото подобное). Удалил файл - BSOD как не было.
А теперь вопрос: как корректно удалить AVZ (так как изза BSOD пока не планирую использовать), чтобы не оставалось мусора на винте/ в реестре.

С уважением.

Для удаления нужно сделать так: AVZ - Файл - Стандартные скрипты, отметить номер 6 и выполнить.

Олег, есть зловреды(отправлял через форму на z-oleg) которые блокируют Copy-Paste(комбинации ctrl+c, ctrl+v тоже не работают) может стоит добавить проверку этого в эвристику AVZ...?

[quote=Eublefar;228674]Привет,
не знал где написать - пишу сдесь.
На компе начали время от времени вылезать BSOD: 0x00000050: PAGE_FAULT_IN_NONPAGED_AREA. Причем было указано что возможная причина файл: uzqwnji5.sys, расположенный в папке /drivers. При просмотре этого файла оказалось что это AVZ monitoring Driver (или чтото подобное). Удалил файл - BSOD как не было.
А теперь вопрос: как корректно удалить AVZ (так как изза BSOD пока не планирую использовать), чтобы не оставалось мусора на винте/ в реестре.

С уважением.[/quote]
Дравер мониторинга нет смысла держать загруженным постоянно. Полное удаление всех возможных следов делает скрипт номер 6 из стандарнтых скриптов (файл/стандартные скрипты).

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[quote=Muffler;228687]Олег, есть зловреды(отправлял через форму на z-oleg) которые блокируют Copy-Paste(комбинации ctrl+c, ctrl+v тоже не работают) может стоит добавить проверку этого в эвристику AVZ...?[/quote]
Нужно будет попробовать сделать такую проверку. Но это невозможно седлать без обновления самого AVZ - в скрипт-языке нет функционала для этого

[quote=Muffler;228687]Олег, есть зловреды(отправлял через форму на z-oleg) которые блокируют Copy-Paste(комбинации ctrl+c, ctrl+v тоже не работают) может стоит добавить проверку этого в эвристику AVZ...?[/quote]

Есчо есть, которые блокируют ручной запуск любых exe-шек кроме виндового експлорера (отослал на проверку).
кстати насчет высылки тела зверя - шлю токо через форму,- через почту часто становится невозможно это делать, так как встроенные антивирусные средства п.провайдеров в основном блокируют отсылку подозревая зловреда даже в запароленных архивах
([I]и по-моему даже 7-zip[/I]). 8))

[quote=svp;229126]блокируют отсылку подозревая зловреда даже в запароленных архивах
([I]и по-моему даже 7-zip[/I]). 8))[/quote]
В запароленных? Ну как-то не верится. Разве что на пароль Virus проверять могут. Уж больно оно накладно по времени - пароль вскрывать.