AVZ 4.30

[QUOTE=deepray;386337]Господа! Так и не понял, в какую ветку с этим обращаться. Поэтому прошёл сюда со страницы Download/Скачать:
- по ссылке со страницы "Download / Скачать" качается
Bepcия фaйлa: 4.28.0.66
Beрcия прoдуктa: 4.28, хотя вверху страницы указано: Антивирусная утилита AVZ - [B][U]4.30[/U][/B]. Или 4.30 и есть 4.28.0.66??? Тоже самое качается и по ссылке с первого поста этой ветки.
- всполошился я от того, что при сегодняшнем обновлении баз для имеющейся 4.28.0.66 в самом конце процесса выдаётся: [B][I]Oшибкa в xoдe aвтoмaтичecкoгo oбнoвлeния - Зaгpужeнный фaйл пoвpeждeн - main065.avz[/I][/B]
Несколько раз пытался. Вот и решил проверить версию.... А тут непонятки с номерами... А теперь ещё и с базой...
Проясните ситуацию, плз...[/QUOTE]
Версию продукта необходимо смотреть в "Справко/О программе", все остальное - от лукавого. По поводу обновления баз - необходимо проверить свою сеть, или выждать и повторить обновление - Интернет большой, мест глюка может быть много (перегрузка моего сайта, работы у хостера и провайдера, прочие глюки)

По поводу [URL="http://virusinfo.info/showthread.php?t=12248&page=2"]лжеактиваторов Windows[/URL].
[QUOTE]Может имеет смысл в AVZ сделать проверку автозапуска не у запущенной системы, а у неактивной. Это полезно при запуске с Live-CD, чтобы проверять не сидюк, а систему на жёстком диске заражённого компьютера. Ну или хотя бы дать список ключей в реестре, где можно прописать автозапуск (в т.ч. и в Safe Mode).
P.S. В AVZ нет возможности все ключи посмотреть, возникает ошибка Out of Range если ключ длинный. [/QUOTE]

[I]Цитата:
Сообщение от vistaorxpmoy
Может оффтоп, но хочу высказать пожелание с наилучшими намерениями, так сказать. Можно в стандартные скрипты, ну или в восстановление системы добавить скрипты на возвращение автозапуска, отключаемое мастером поиска и устранения проблем АВЗ, иногда требуется вернуть автозапуск. (а именно автозапуск с сетевых дисков, съёмных дисков, с СД, жёстких дисков,). Не всегда есть папка Бэкап. [/I]

Зайцев Олег
[B][U]Можно - в стандартные скрипты включу[/U][/B]

Апнул))

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

В "мастере поиска и устранения проблем" создаётся бэкап только первой проблемы из отмеченных, соответственно отменить можно только первую из найденных проблему. Запускал "системные проблемы" -- "все проблемы". Запуск с флешки, Виста.

Есть предложение по AVZ.
Выкладывайте вариант утилиты в SFX-архиве.
Не все знают, что такое распаковать архив.
Из бесплатных архиваторов отмечу 7-zip, редактором ресурсов можно вшить в окно распаковки подсказки на русском языке.

[B]bolshoy kot[/B], для использования AVZ необходим определённый уровень знаний. На пользователя, умеющего только кликать мышью, не стоит ориентироваться. К тому-же SFX-архив может быть заражен файловым вирусом и проверить это средствами AVZ не возможно.

AndreyKa, в данном случае я имел ввиду случай, когда "чайник" использует AVZ для создания логов. В таком случае пределом уровня знаний может быть выбор темы оформления Windows. (Пример: раздел Помогите virusinfo)

Олег! Взгляни вот сюда:
[url]http://virusinfo.info/showthread.php?t=33884[/url]

Ответь страждущим.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=bolshoy kot;389673]AndreyKa, в данном случае я имел ввиду случай, когда "чайник" использует AVZ для создания логов. В таком случае пределом уровня знаний может быть выбор темы оформления Windows. (Пример: раздел Помогите virusinfo)[/QUOTE]

В этом случае есть AVPTool. Чуть пообъемней, но и кликать там меньше надо.

Файл utk0otc2.sys из папки %SystemRoot%\system32\drivers имеет отношение к AVZ? Тестировал корпоративный McAfee, он детектит этот файл как Generic.dx.

[QUOTE=SuperBrat;391082]Файл utk0otc2.sys из папки %SystemRoot%\system32\drivers имеет отношение к AVZ? Тестировал корпоративный McAfee, он детектит этот файл как Generic.dx.[/QUOTE]
Это можно посмотреть по копирайтам файла. Скорее всего это драйвер AVZ, McAfee его всю жизнь детектировал

[QUOTE=Зайцев Олег;391090]Скорее всего это драйвер AVZ, McAfee его всю жизнь детектировал[/QUOTE]

Сегодня и Symantec начал его детектировать..

[QUOTE=Kuzz;392265]Сегодня и Symantec начал его детектировать..[/QUOTE]
Не сегодня - он его тоже всю жизнь детектировал :)

[QUOTE=Зайцев Олег;392274]Не сегодня - он его тоже всю жизнь детектировал :)[/QUOTE]
10.1.7.7000 корпоративный лишь сегодня не дал загрузиться антируткит-драйверу.
До этого спокойно разрешал.

Вот драйвер бут-клинера - это да, его удалял

[QUOTE=Kuzz;392293]10.1.7.7000 корпоративный лишь сегодня не дал загрузиться антируткит-драйверу.
До этого спокойно разрешал.[/QUOTE]
Подтверждаю, и для SEP11 - [URL="http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99"]Trojan Horse[/URL].

Я хочу еще раз высказать то что уже множество раз говорилось. Нужна возможность создания приватных баз чистых файлов. Например у нас в фирме много софта отсутствующего в базе чистых АВЗ. При этом софт на всех компьютерах стандартный. И если бы была возможность создать свою базу чистых по эталонному компьютеру, было бы значительно проще потом ловить зловредов.

[QUOTE=Geser;392726]Я хочу еще раз высказать то что уже множество раз говорилось. Нужна возможность создания приватных баз чистых файлов. Например у нас в фирме много софта отсутствующего в базе чистых АВЗ. При этом софт на всех компьютерах стандартный. И если бы была возможность создать свою базу чистых по эталонному компьютеру, было бы значительно проще потом ловить зловредов.[/QUOTE]
А что мешает передать эти файлы через форму загрузки чистых файлов ?

[QUOTE=Зайцев Олег;392729]А что мешает передать эти файлы через форму загрузки чистых файлов ?[/QUOTE]

Уже передавал. Вносятся они в базу очень медленно. И это понятно. Там несколько малораспространенных инструментов которые вообще у многих антивирусов вызывают срабатывание эвристики.

[QUOTE=Geser;392732]Уже передавал. Вносятся они в базу очень медленно. И это понятно. Там несколько малораспространенных инструментов которые вообще у многих антивирусов вызывают срабатывание эвристики.[/QUOTE]
так нет ничего проще - передать их еще раз и сказать мне MD5 или имена файлов уже переданных файлов - я ускорю процесс. На самом деле я уже давно думаю о второй форме отправки чистых файлов - закрытой, для хелперов и корпоративщиков

[QUOTE=Зайцев Олег;392733]так нет ничего проще - передать их еще раз и сказать мне MD5 или имена файлов уже переданных файлов - я ускорю процесс. На самом деле я уже давно думаю о второй форме отправки чистых файлов - закрытой, для хелперов и корпоративщиков[/QUOTE]

Я завтра загружу еще раз.
Но это ничего особо не меняет. Пока нет гарантированного времени анализа и занесения в базу безопасных необходима возможность создания приватных баз. А если ты боишся что они будут широко использоваться, то подпиши свои базы цифровой подписью, и при выполнения скриптов исследования системы то что не в подписанных базах можно выделять другим цветом. Я думаю огромное количество сисадминов будут рады такой возможности.

Кроме того, на мой взгляд, необходимы еще несколько усовершенствований.
1. Каждый лог исследования системы нужно ложить в свою папку название которой должно содержать число и время. Иногда выполняются разные действия, и хочется посмотреть что изменилось в логах. А сейчас новые логи давят старые. Очень неудобно.
2. Любое выполнение скрипта должно создавать автоматический лог, в котором будет как сам скрипт так и подробные результаты успешности выполнения каждой комманды. Таким образом если несколько машин заражены одним зловредом и одна вылечена удачно легко восстановить алгоритм лечения для остальных. Да и вообще удобно иметь историю того что делалось.
3. Нужно добавить возможность сравнения нескольких логов. Например сделав несколько логов с перегрузкой и посмотрев список отличий удобно находить зловреды меняющие имена при перегрузке. Сравнивать же глазами несколько больших логов практически нереально.

Это результаты моего недавнего применения АВЗ. Всего вышеперечисленного очень не хватало, и это могло бы сэкономить большую часть времени потраченного на лечение.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Возможно, даже удобнее что бы АВЗ вел один лог в котором будут протоколироваться все действия. Когда что запущено, какие файлы созданы, где с какими именами, какие скрипты выполнены...
Думаю очень удобно.
Особенно если кто-то сначала занимался самолечением а потом пришел на форум за помощю. Можно попросить лог и сразу станет понятно что делалось.

Файл сохранён как 090426_115156_geser_work_virus_49f4129cedc57.zip
Размер файла 1030541
MD5 307992f86aa77f1f3b242f80720bbea0
Чистые файлы с работы

[QUOTE=Geser;393079]Файл сохранён как 090426_115156_geser_work_virus_49f4129cedc57.zip
Размер файла 1030541
MD5 307992f86aa77f1f3b242f80720bbea0
Чистые файлы с работы[/QUOTE]
Сегодня они все будут в апдейте. Да, там есть пара программ, которые автоанализатор сразу записал в злобные вирусы :) (такова например участь многих качалок файлов, обновляторов продуктов и т.п.)