AVZ 4.34-4.35

[QUOTE=yamoney;688913]А можно чуть-чуть поподробнее? Лично я в этом далеко не профи и словосочетание "посетитель 911" мне мало о чём говорит :)

Ибо, действительно, сам переживаю по поводу того, что базы AVZ обновляются у меня очень редко!..[/QUOTE]
А переживать тут нечего - я могу сделать обновление баз раз в N минут (цифра любая), только какой с того прок (кроме нагрузки на зеркала обнволения) ? Лучше детектиться от это что-то не будет, эвристики и база чистых меняются 1-3 раза в неделю, а от тупого набивания баз оосбой пользы нет.
911 - это [URL]http://virusinfo.info/911test/[/URL], там обитает вот такой зверь - [URL]http://virusinfo.info/index.php?page=cyberhelper[/URL] - эта штука в том числе готовит базы AVZ, и если некий зверь пойман и изучен, то при обращении в службу 911 быдет выписан скрипт для его уничтожения (и не важно, есть детект этого зверя в базах AVZ или его нет). Если такого именно звыеря нет - будет выписан скрипт карантина для исследования. Причем быстро и на полном автомате ... В такой ситуации понятие актуальности сигнатурных баз вообще теряет смысл и возможно в неделеком будующем в 911 будет применяться урезанный AVZ вообще без базы детектирования зловредов.

[QUOTE=yamoney;688913]Ибо, действительно, сам переживаю по поводу того, что базы AVZ обновляются у меня очень редко!..[/QUOTE]

На самом деле AVZ едва ли правильно считать сигнатурным сканером. Да, там есть функция поиска зловредов по сигнатурам, но лишь как дополнительная фича, на ней не делается акцент по простой причине: с помощью утилиты можно отлавливать вредоносное ПО, в том числе и новое, для которого нет сигнатур ни у самой утилиты ни у популярных антивирусных сканеров с большой вирусной базой. Т.е. утилита главным образом инструмент для исследования системы, поимки зловредов и их удаления с ПК при помощи специалиста (анализирующего протокол исследования) и скрипт-языка (предоставляющего возможность использовать многочисленные возможности утилиты).
Обновление в основном нужно, чтобы улучшить какие-либо методы исследования, анализа, лечения системы и устранения проблем, пополнить базу чистых файлов, но не главным образом для пополнения сигнатурной вирусной базы.
На мой взгляд, сигнатурный поиск утилите вообще не особо нужен, именно из-за других особенностей и возможностей. И поэтому я бы не считал проблемой вообще, если бы обновления для утилиты выходили, скажем, раз в неделю.

[QUOTE='Зайцев Олег;688929']я могу сделать обновление баз раз в N минут (цифра любая), только какой с того прок (кроме нагрузки на зеркала обнволения) ? Лучше детектиться от это что-то не будет, эвристики и база чистых меняются 1-3 раза в неделю[/QUOTE]Вот, я и прошу привести документацию в соответствие реальности. Не хорошо людей вводить в заблуждение.

[QUOTE='kps;688972']На мой взгляд, сигнатурный поиск утилите вообще не особо нужен, именно из-за других особенностей и возможностей.[/QUOTE] А как быть с теми кто использует утилиту без доступа к Киберу. В этом случае поиск иногда отлавливает малваре.

[B]PavelA[/B], Если бы у бабуш... у AVZ были достаточно полные сигнатурные бызы, то это был бы AVPTool++ ? Или я что-то путаю?

[QUOTE='PavelA;689092']поиск иногда отлавливает малваре.[/QUOTE]
Отлавливает конечно, но вообще, в идеале, даже в правилах у нас написано, что нужно использовать сканеры типа CureIt или AVPTool и только потом, пользоваться AVZ -- в данном случае отсутствие сигнатур у AVZ не помеха...

[QUOTE=antanta;689304][B]PavelA[/B], Если бы у бабуш... у AVZ были достаточно полные сигнатурные бызы, то это был бы AVPTool++ ? Или я что-то путаю?[/QUOTE]
Не совсем. Разница между AVZ и AVPTool в первую очередь не в базе, а в движке. AVPTool содержит движек AVP, который содержит в частности имеет базу унпакеров/декриптеров, оснащен эмулятором и кучей разных иных фич, которые в частности позволяют детектить сложных полиморфных зверей и лечить патченные/зараженные файлы. В результате размер AVPTool на порядок больше, а скорость сканирования - на порядок медленее. AVZ же с точностью до наоборот - там поверхностный анализ, нацеленный на быстрое обнаружение популярных малварей для облегчения чистки ПК. Причем это "облегчение" актуально для человека, машине оно в общем-то не критично и записать в скрипт лишние N команд "киберу" тривиально

[QUOTE='polar_owl;689493']даже в правилах у нас написано, что нужно использовать сканеры типа CureIt или AVPTool и только потом, пользоваться AVZ -- в данном случае отсутствие сигнатур у AVZ не помеха...[/QUOTE] повторюсь: представьте, что я работаю без Правил, без форума, просто проверяю компьютер. Не зацикливаетесь на Правилах форума, Инет и даже Рунет на ВИ не заканчтивается.

Дык, Павел, признаюсь, я тоже раньше по незнанию использовал АВЗ как антивирусный сканер. Но ведь это же неправильно...:)

[QUOTE='polar_owl;689616']Но ведь это же неправильно...[/QUOTE] Что есть под рукой, то и запускаем. Во вторых: кеш гугла наверняка содержит множество ссылок на такое применение AVZ. Если об этом пошла речь, то надо просто выбросить сканер из комплекта в очередной версии.

[QUOTE='PavelA;689657']Если об этом пошла речь, то надо просто выбросить сканер из комплекта в очередной версии[/QUOTE]Уж пусть лучше будет;)

Можно узнать ключи установки AVZ (актуально для автоматической установки).
Заранее спасибо.

[QUOTE=chemtech;690925]Можно узнать ключи установки AVZ (актуально для автоматической установки).
Заранее спасибо.[/QUOTE]
Пояните, что такое "ключи установки" ? AVZ в общем-то работает без инсталляции и сам термин "установка" к нему не применим

Хотелось бы при установке Windows установить драйвером мониторинга процессов и драйверов AVZPM, например, так: avz.exe /i avzpm

[QUOTE='chemtech;690979']Хотелось бы при установке Windows установить драйвером мониторинга процессов и драйверов AVZPM[/QUOTE]Это не следует делать. AVZPM должен использоваться [B]только при лечении [/B]компьютера.

Есть проблемы? можно ссылки, где эти проблемы описываются?

[QUOTE='chemtech;690979']например, так: avz.exe /i avzpm[/QUOTE] Смотрите в хелпе: параметры командной строки.

[QUOTE='chemtech;690982']Есть проблемы?[/QUOTE]
Есть. В некоторых случаях провоцирует BSOD.

[B]chemtech[/B], у меня 1 раз из 10 бсодил при запуске Microsoft Virtual PC 2004

Microsoft Virtual PC 2004 не использую))
Есть еще проблемы?

Да никто не выяснял всерьёз, при каких условиях он синьку делает. Просто были жалобы на вылезающий на ровном месте синий экран, в дампах обнаруживали AVZPM, советовали удалить, синьки прекращались.

точно знаю что не совместим со Steam, Source Engine - да и вообще любыми 3D движками сильно нагружаюшими систему
некоторые кривые драйвера тоже его (AVZPM) не любят

но думаю это не проблема, держать постоянно включенным его не к чему,
вы же не держите утюг включенным всегда - так погладить, или спросить чего :D

да и замечено, что он НЕ вычищает следы за собой полностью - ключи в реестре имеют права system only и естественно, пока не добавишь полномочий не удалишь - это видимо защита от некоторых зловредов
либо синьку вызывает второй экземпляр AVZPM, установленный зловредом - вроде по Помогите! что-то пролетало подобное

Хорошо, уговорили

Микрософтовская - "средство удаления вредоносных программ" тоже не дружит с монитором. На нескольких компьютерах где я забыл выгрузить монитор был БСОД.

столкнулся с вирусякой ... рубит интернет и иметирует дейсвия антивируса , при этом не дает загрузиться другим антивирусам и утилитам : полиморфным AVZ с отключеным ярлыком , UVS в любых режимах противодействия ,а также reg файлы , и ini файлы напрочь блокировались !
лайфциди под рукой небыло кое как удолось эту гадость усмерить ручками и выгрузить из оперативной памяти и только тагда весь мой арсенал заработал!

от суда странный вопрос ... почему вирус на порядок умнее и сильнее любой программы которая призвана [B]противодейсвовать[/B], найти и обезвредить?

все больше приходишь к вывду что AVZ помогает востоновить систему после вирусной атаки а заразу отлавливать в ручную потомучто из по лайфа его не видно , а сейфмод или наглухо отрубленый или вирус там себя прописал через 33 процеса и его опятьже не видно , и гери реестра не помагают потомучто черес секунду все на старом месте ...

вопрос почему не сконценрировать внимание в плане противодейсвия вирусу и именнно по атаке на утилиту(AVZ ) и щемить гада ,а то все самое трудное сделай сам, а сливки лакать программе(в том числе и др прогах)...

[B]QUARQ[/B], [QUOTE]кое как удолось эту гадость усмерить ручками и выгрузить из оперативной памяти и только тагда весь мой арсенал заработал![/QUOTE]
Не поделитесь навыками мануальной терапии? В частности, интересует механизм выгрузки из памяти вручную.
[QUOTE]почему вирус на порядок умнее и сильнее любой программы которая призвана противодейсвовать, найти и обезвредить?[/QUOTE] кто первый встал, того и тапки. Правда, бывают варианты.[QUOTE]а сейфмод или наглухо отрубленый[/QUOTE] :rtfm:

[QUOTE='antanta;691798']Не поделитесь навыками мануальной терапии? В частности, интересует механизм выгрузки из памяти вручную.[/QUOTE]
Легко!:) Планку памяти вытащите из МП:D
[B]Внимание! Это делать нельзя![/B] (на всякий случай, а то могут и выдернуть)

мой знакомый так не один винт спалил выдергивая шлейфы на лету ))

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

кстати, Олег как там обстоят дела с менеджером дров для х64? В кашмарском 2011 уже работает.

[QUOTE=antanta;691798][B]QUARQ[/B],
Не поделитесь навыками мануальной терапии? В частности, интересует механизм выгрузки из памяти вручную.
кто первый встал, того и тапки. Правда, бывают варианты. :rtfm:[/QUOTE]
в том конкретном случае это выглядело весма просто:

машина подтормаживала , я попытался выгрузить по очереди 3 левых процесса нашел вариант, как выгрузить второй процесс пака не успел востоновиться первый (если тормаза недостаточны для замедления перезагрузки процесса , надо их добавить искуственно) выгрузил все три процесса после чего удалось загрузить "медецинский арсенал"...
а вообще можно играться с оболочкой экплорера ,если процес на нем паразетирует ,как это было с "вымагателеми смс"

для тех кто не вкурсе :
жмем кнопку пуск (окно вымагателя это все позволяет сделать)
открываем блокнот, ворд , любой текстовый документ пишем абракодабру и жмем на системние большую кнопку и смотри как по очереди закрываются все окна, закрывается вымагатель а под канец наша писанина с тобличкой о сохронении документа бысренко жмем отмена ! все можно дальше щемить заразу

ну итак далее далее далее ,все сразу неупомнишь

Удивительно, что зверёк препятствует запуску разных утилит, заблокировал редактирование реестра, а о диспетчере задач подзабыл. Или таки использовалась альтернативная утилита? Теперь еще и такое везение с выгрузкой. Нет, чтобы внедриться в легальные потоки... В совокупности все это [B]выглядит[/B] как экзотический случай, и повод для наезда :) Или как желание поделиться знаниями с общественностью.

[QUOTE=antanta;692189]Удивительно.[/QUOTE]
да! мне тоже паказалось все весьма странным , может кто выпустил новый конструктор? или первая ласточка ,но весьма могообещяющая зараза...

[QUOTE='Nerimash;691943']мой знакомый так не один винт спалил выдергивая шлейфы на лету ))[/QUOTE]Видать одного винта мало было, чтобы понять, что так не делать не надо.

ну судьба у него такая %) поэкспериментировать охота была

Будте любезны, напомните ключ запуска АВЗ (командная строка) с активацией AVZGuard, дабы предотвратить блокировку АВЗ.

ag=y

Однако, 4.35 по-тихому вышла:
[CODE]--- 25.08.2010 --- ver 4.35
[+++] Поддержка x64 в всех визардах (обработка x32 и x64 ключей реестра,
[++] Адаптивное отключение бекапа AVZ (что актуально для визарда удаления приватных данных)
[+/-] Изменен алгоритм обработки профилей и параметров командной строки. Это устраняет проблему с тем, что
профиль по умолчанию имел приоритет над параметрами командной строки и другими профилями
[+] Автоматический запрос перезагрузки в визарде поиска и устранения проблем (выводится при необходимости)
[+] Доработана команда RegKeyParamWrite скриптов - добавлена поддержка REG_MULTI_SZ
[+] Доработано восстановление настроек проводника
[--] Исправлена проблема с форматирование даты и времени в протоколах (брались настройки форматирования
из системы, где они могут быть непредсказуемыми или поврежденными)
[/CODE]

Все в курсе.

Все - это хелперы? Ни здесь, ни на [URL="http://z-oleg.com/"]http://z-oleg.com/[/URL] информации нет. А, вспомнил, нечётные версии - для внутреннего тестирования, правильно? Но я тоже потестирую немножко ;)

[QUOTE='Vvvyg;695972']ни на [url]http://z-oleg.com/[/url] информации нет. [/QUOTE]

Все там есть.

Появилось несколько минут назад, если быть точным.