AVZ 4.30

[QUOTE='DimaT;429390']Цитата:
"Скрипт не совсем корректный"
Уточни мысль...
Я его взял в разделе "Помогите"...
[/QUOTE]
Потому что в Правилах "Помогите" красным по белому написано
[QUOTE]Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.[/QUOTE]

Обнаружил, что в скриптах AVZ нет функции, возвращающей атрибуты указанного файла - иногда полезно искать exe-файлы с атрибутом hidden.

[QUOTE=Oyster;430917]Обнаружил, что в скриптах AVZ нет функции, возвращающей атрибуты указанного файла - иногда полезно искать exe-файлы с атрибутом hidden.[/QUOTE]
Как это нет ? См. [URL]http://z-oleg.com/secur/avz_doc/script_filesearch.htm[/URL] - специальный класс для поиска файлов, там есть свойство FileAttr

При выполнении стандартного скрипта №4 (сбор подозрительных файлов) через меню появляется ошибка:
[CODE]Ошибка выполнения команды RUNSCAN, ошибка - Access violation at address 00403D12 in module 'avz.exe'. Read of address 00000031[/CODE]
Что может быть?
Если выполнять то же самое через скрипт
[CODE]begin
ExecuteStdScr(4);
end.[/CODE]
пишет, что скрипт выполнен успешно, при этом архив в папке логов пустой. Выполнение длится всего 1-2 секунды.
Неужели у меня на компьютере нет нераспознанных объектов? На компьютере стоит много софта, в т.ч. и специфического.

[QUOTE=efimov.sergey;431579]При выполнении стандартного скрипта №4 (сбор подозрительных файлов) через меню появляется ошибка:
[CODE]Ошибка выполнения команды RUNSCAN, ошибка - Access violation at address 00403D12 in module 'avz.exe'. Read of address 00000031[/CODE]Что может быть?
Если выполнять то же самое через скрипт
[CODE]begin
ExecuteStdScr(4);
end.[/CODE]пишет, что скрипт выполнен успешно, при этом архив в папке логов пустой. Выполнение длится всего 1-2 секунды.
Неужели у меня на компьютере нет нераспознанных объектов? На компьютере стоит много софта, в т.ч. и специфического.[/QUOTE]Странно, что-то мешает. Антивирус и другой защитный софт отключали перед запуском авз? Новые логи по правилам не помешают;)

[QUOTE=drongo;431587]Странно, что-то мешает. Антивирус и другой защитный софт отключали перед запуском авз? Новые логи по правилам не помешают;)[/QUOTE]

Нод отключал при выполнении. Других защит нет. На вирусы проверял, чисто. Последний раз делал логи 09.07.2009, вот тема:
[url]http://virusinfo.info/showthread.php?t=49623[/url]
Но эта проблема началась несколько раньше.
Остальные скрипты работают нормально. Права администратора.

Полный лог выполнения скрипта прикрепил.

[QUOTE=efimov.sergey;431590]Нод отключал при выполнении. Других защит нет. На вирусы проверял, чисто. Последний раз делал логи 09.07.2009, вот тема:
[URL]http://virusinfo.info/showthread.php?t=49623[/URL]
Но эта проблема началась несколько раньше.
Остальные скрипты работают нормально. Права администратора.

Полный лог выполнения скрипта прикрепил.[/QUOTE]
Операционка обычная или какая-то сборка ?

[QUOTE=Зайцев Олег;431597]Операционка обычная или какая-то сборка ?[/QUOTE]
WinXP, лицензия.

При анализе автозапуска AVZ благополучно находит файл, даже если путь к нему явно не задан. При условии, что путь к файлу среди перечисленных переменной окружения path.
Проверил, функция QuarantineFile не использует переменные окружения. Так и задумано?
А такой скрипт якобы "выполняется без ошибок". На самом деле Avira защищает эту ветку, в итоге ничего не добавляется.
[QUOTE]begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AntiVirSchedulerService',' ZZZ','zzz');
end.[/QUOTE]

По поводу моего сообщения выше о неработающем антивирусном плагине для Бата: производитель Бата выпустил новую версию своей программы (пока бету) и вроде бы исправил эту проблему (оказалось, не работали [U]все[/U] антивирусные плагины).
Отбой тревоги и спасибо :)

[QUOTE=Nick222;432781]По поводу моего сообщения выше о неработающем антивирусном плагине для Бата: производитель Бата выпустил новую версию своей программы (пока бету) и вроде бы исправил эту проблему (оказалось, не работали [U]все[/U] антивирусные плагины).
Отбой тревоги и спасибо :)[/QUOTE]
Я так и подумал - у меня в BAT все работает, но обновляю я его не часто и ставлю только стабильные версии (бат у меня как и все прочие программы лицензионный - когда он начинает надоедать сообщением о том, что вышла новая версия, я ее качаю и ставлю. Но надоедает он избирательно - видимо только при выходе стабильных релизов)

Здравствуйте. При просмотри логов можно заметить следующий пункт:-
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)

В принципе Мне как рядовому пользователю ПК не совсем понятно, почему АВЗ считает эти, и именно эти, службы столь опасными, т.к. в книжке [URL="http://security-advisory.virusinfo.info/"][COLOR=#0532aa]http://security-advisory.virusinfo.info/[/COLOR][/URL]
эти службы вообщем-то описываются как скорее средней опасности или даже наименьшей( в частности SSDP)

Я дико извиняюсь - но вы понимаете разницу между "потенциально опасный" и "опасный"?

[B]Torvic99[/B], Ну они в книжке тоже не потенциально опасные, вот например-
Служба SSTP [SSTP Service]
Этот сервис обеспечивает поддержку протокола безопасного
туннелирования сокетов (Secure Socket Tunneling Protocol) для
безопасного подключения к удаленным компьютерам с помощью
виртуальной частной сети (Virtual Private Network, VPN). Так как от этой
службы в Windows Vista SP1 зависит Диспетчер подключений
удаленного доступа, отключить ее полностью не представляется
возможным.

Я не утверждаю, что они безопасные, Я интересуюсь, почему именно они?


Тьфу, Я буквы перепутал и службы тоже SSTP c SSDP:)

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Сорри.
Это что получается, что
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
Служба обнаружения?
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
Планировщик заданий

>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268)
А это тогда что такое? Я думал это диспетчер подключений удалённого доступа

К разным антивирусам, считающим компоненты AVZ опасными, присоединилась Microsoft Windows Malicious Software Removal Tool - антируткитный драйвер AVZ определила как Trojan:WinNT/Bagle.A :)

[B]Oyster[/B], [url]http://virusinfo.info/showthread.php?p=417404#post417404[/url]
и следующие посты

[QUOTE=Kuzz;434022][B]Oyster[/B], [url]http://virusinfo.info/showthread.php?p=417404#post417404[/url]
и следующие посты[/QUOTE]

И тем не менее, думаю уже пора что-то делать. Это не срабатывание эвристики а конкретный детект. Нужно либо начинать писать что бы убрали детект, или менять драйвер. Потому как, например, я иногда на работе использую АВЗ что бы помочь сотрудникам избавиться от заразы. Но если наш антивирус начнет детектить АВЗ, то использовать его станет невозмозгно т.к. антивирус не отключить. Да и админ может начать возмущаться.

[QUOTE=Geser;434050]Это не срабатывание эвристики а конкретный детект. Нужно либо начинать писать что бы убрали детект[/QUOTE]Искал контакты на сайте майкрософта, нашёл [url]http://support.microsoft.com/kb/921159/en-us[/url] Написал как фолс на spyware, надеюсь, что спецы по Windows Defender передадут куда надо.

[QUOTE]Нужно либо начинать писать что бы убрали детект[/QUOTE]

Я уже давно и не один раз писал во все virus lab'ы, кто-то путевый отреагировал и поправил, а остальные промолчали и не поправили рекорду...

[QUOTE=Гриша;434135]Я уже давно и не один раз писал во все virus lab'ы, кто-то путевый отреагировал и поправил, а остальные промолчали и не поправили рекорду...[/QUOTE]

Та же история. Особенно мне не понравилась реакция Симантек, до их вирлаба вообще почти не достучатся, связался с саппортом через форму на сайте и попросил передать инфу их вирлабу, так они вместо этого начали мне объяснять, как мне занести файл в исключения из проверки их антивируса :D А ложняк так и не убрали.