AVZ 4.25

******************************************************************

1. Известный антивирусный эксперт Олег Зайцев присоединится к команде "Лаборатории Касперского"

"Лаборатория Касперского", ведущий разработчик систем защиты от
вирусов, хакерских атак и спама, сообщает о заключении договора о
сотрудничестве с широко известным независимым антивирусным экспертом
Олегом Зайцевым. Олег Зайцев - один из самых авторитетных в России
специалистов по борьбе с компьютерными угрозами, включая шпионские и
хакерские программы. Он является создателем популярного бесплатного
антивирусного приложения AVZ ("Антивирус Зайцева"), предназначенного для
анализа безопасности компьютерных систем и их защиты от различных видов
вредоносных программ.

Теперь Олег Зайцев войдет в число сотрудников отдела антивирусных
исследований Департамента инновационных технологий "Лаборатории
Касперского". Сотрудничество с таким признанным экспертом в области
информационной безопасности, несомненно, поможет расширить спектр
продуктов и услуг "Лаборатории Касперского" и еще больше повысить их
качество.

"Мы - инновационная технологическая компания, которая
заинтересована в специалистах самого высокого класса, способных не
только выполнять сложнейшие задачи, но ставить их. Олег - именно
такой человек, профессионал, понимающий ситуацию и знающий тенденции
развития нашей индустрии, способный находить верные решения и правильно
их реализовывать. Я очень рад тому, что он присоединился к нашей
команде", - отметил Евгений Касперский, руководитель антивирусных
исследований "Лаборатории Касперского".



**

[QUOTE=AStr;103723]******************************************************************

1. Известный антивирусный эксперт Олег Зайцев присоединится к команде "Лаборатории Касперского"
................
**[/QUOTE]

[url]http://virusinfo.info/showthread.php?goto=newpost&t=8976[/url]

"Известный антивирусный эксперт Олег Зайцев присоединится к команде «Лаборатории Касперского»"
[url]http://www.kaspersky.ru/news?id=207732495[/url]

И чего?!?

Угу, жаль что Олег не присоединился к команде Eset или DrWeb. :). Тем не менее, Олег, искренне поздравляю со столь важным событием в жизни. Желаю вместе с работой над КАВ не забывать о собственном детище АВЗ, который там необходим на антивирусном фронте среди всего многообразия инструментов.

Боюсь, что многообразия уже не будет :(

A AVZ тоже касперу продали...?

Пока сказать ничего конкретного нельзя - доживем до 4.25, увидим. :)

[QUOTE=NickGolovko;104013]Пока сказать ничего конкретного нельзя - доживем до 4.25, увидим. :)[/QUOTE]
Вот и дожили :) Вышла версия 4.25, в ней нет особо новых фич, зато включены все багфиксы, которые выходили для 4.24. Вообще уже начинает вырисовываться устойчавая тенденция - в версиях с четными номерами добавляется ряд функций, с нечетными - идет правка ошибок и совершенствование. В новой версии обновленная база - сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 369 микропрограмм эвристики, 58493 подписей безопасных файлов

[quote=Зайцев Олег;104284]Вот и дожили :) Вышла версия 4.25, в ней нет особо новых фич, зато включены все багфиксы, которые выходили для 4.24. Вообще уже начинает вырисовываться устойчавая тенденция - в версиях с четными номерами добавляется ряд функций, с нечетными - идет правка ошибок и совершенствование. В новой версии обновленная база - сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 369 микропрограмм эвристики, 58493 подписей безопасных файлов[/quote]

А как же моя просьба заранее предупредить? :) Я же не прислал вам выверенную базу переводчика. :)

@Олег Зайцев
При проверке ПК АВЗ 4.25 выдано следующее сообщение
[QUOTE]C:\downloads\FinePrint\fp560.exe >>>>> Trojan-PSW.Win32.Nilage.bhe [/QUOTE]
Этот файл - Сетап для менеджера печати, кстати очень удобного :) . Оригинальный файл можно скачать на [url]www.fineprint.com[/url]
Прошу проверить.
Спасибо.

Очень рад, что Олег продолжает работу по развитию AVZ в нынешнем бизнес-мире, это благородное дело.

[quote=Зайцев Олег;104284]Версия 4.25[/quote]

В старых версиях был файлик avzsg.sys (был ещё и avz.sys) нужны ли они сейчас, поскольку в новых версиях начиная с 4.24 такие файлы отсутсвую, если они нужны то почему их нет в дистрибутивах?!:embarasse

Второе - наверное вытекает из первого, попытался использовать версию 4.25 на зараженной машине, включил AVZGuard и AVZPM, перегружаюсь, компьютер начинает искать какой-то драйвер и естественно его не находит, запускаю AVZ - AVZGuard не включен, надо включать заново, драйвер AVZPM работает.

По умолчанию стоит проверять архивы, может лучше по умолчанию проверку архивов отключить, или сделать как дополнение, или скриптом или другим путем быструю проверку критических областей.;)

[quote=reseacher;104602]В старых версиях был файлик avzsg.sys (был ещё и avz.sys) нужны ли они сейчас, поскольку в новых версиях начиная с 4.24 такие файлы отсутсвую, если они нужны то почему их нет в дистрибутивах?!:embarasse

Второе - наверное вытекает из первого, попытался использовать версию 4.25 на зараженной машине, включил AVZGuard и AVZPM, перегружаюсь, компьютер начинает искать какой-то драйвер и естественно его не находит, запускаю AVZ - AVZGuard не включен, надо включать заново, драйвер AVZPM работает.

[/quote]

Теперь драйвера создаются динамически.

Вторая описанная вами проблема есть случайный глюк, связанный с динамическим созданием драйверов. ;)

[quote=NickGolovko;104617]Теперь драйвера создаются динамически.

Вторая описанная вами проблема есть случайный глюк, связанный с динамическим созданием драйверов. ;)[/quote]

Т.е. раз теперь они не нужны из можно удалить, я надеюсь правильно понимаю. Попытался создать файлик надежных программ для помощи, но он у меня получился около 37 мб, а на форуме написано около 20 мб, я конечно понимаю, что я много программ использую но они все нужны:D ;)

Разбейте на несколько архивов.

[quote=pig;104645]Разбейте на несколько архивов.[/quote]

Так и сделал, перепаковал раром, но что-то очень уж долго закачивается первая, большая часть, наверное надо уменьшить размер, хотя вроде должно быть нормально ( первая часть 19,0 MB (20 000 000 bytes), вторая часть 7,45 MB (7 815 008 bytes)).:?

Все нормально, закачалась первая часть, просто канал был немного занят...:)

У меня почему-то закачалось 39 Мб нормально - такое может быть?

В топе [url]http://virusinfo.info/showthread.php?t=9176[/url] у человека AVZ выдает кучу [QUOTE]Маскировка процесса с PID=3128, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3128
[/QUOTE]
Там система Win2003 sp2.
У меня на 2003 сп2 такое же поведение AVZPM.
Похоже, косяк?

[QUOTE=Kuzz;104969]В топе [url]http://virusinfo.info/showthread.php?t=9176[/url] у человека AVZ выдает кучу
Там система Win2003 sp2.
У меня на 2003 сп2 такое же поведение AVZPM.
Похоже, косяк?[/QUOTE]
Возможно. А апача на этом сервере нет ? Я как-то наблюдал похожий глюк именно на ПК с апачем, взаимосвязь установить не удалось.

[QUOTE]1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=836, имя = "\Device\HarddiskVolume1\PROGRA~1\ICQCorp\ICQCorp.exe"
>> обнаружена подмена имени, новое имя = "c:\program files\icqcorp\icqcorp.exe"[/QUOTE]
Корпоративная аська. Она ничего такого не хотела. ;) Просто старенькая, 1996 г.

[quote=Зайцев Олег;104985]Возможно. А апача на этом сервере нет ? Я как-то наблюдал похожий глюк именно на ПК с апачем, взаимосвязь установить не удалось.[/quote]
Апача нет. Присутствует Squid.
Сегодня попробую проверить это на чистой системе.

Ачепятку вот в логе обнаружил:
[QUOTE]<назначение [B]на[/B] задано>[/QUOTE]
(это в модулях расширения проводника)
Кстати, такая надпись указывает на отсутствие файла или нет?

Олег, Ваша программа ругается на перехват функций Comodo Firewall-ом. Надеюсь, перехват функций файерволами безопасен?

[quote=Sibir;105973]Олег, Ваша программа ругается на перехват функций Comodo Firewall-ом. Надеюсь, перехват функций файерволами безопасен?[/quote]
Tак и должно быть,это не опасно. Hадо же как-то фаерволу защищать ваш комп :)Если есть подозрения, выполните правила в разделе "помогите", посмотрим.
Читайте: [url]http://www.z-oleg.com/secur/avz_doc/faq_3.htm[/url]

Теперь нет подозрений. :-) Спасибо.

У человека (общались по ICQ)
Avast выдал при запуске AVZ

0:55:09: Исходное имя файла: avz_3152_1.tmp
папка : блаблабла/Локал Сетингс/Темп
описание виря: win32:Trojan-gen {Other}

кстати, куда все время ходит опера
pagead2.googlesyndication.com ?

1:05:38: вот ещё какая фишка уже 2й раз выскакивает - найдено новое устройство...
1:06:35: в сведениях строка :
ROOT\LEGACY_AVZRK\0000
(Это AVZPM - новое устройство)
У того же человека (XP SP2)

[QUOTE=Mad Scientist;106202]кстати, куда все время ходит опера
pagead2.googlesyndication.com ?[/QUOTE]
Гугловская рекламокрутилка.

Помогите пожалуйста новичку разобраться с настройкой обновления! Читал хелп но чегото не допонял, может руки кривые.
Опишу задачу: Имеется локальная сеть, в сети есть сервер который через Инет обновляет базы Nod32 и Касперского. Далее клиенты забирают с этого сервака обновления. Необходимо то же самое настроить для AVZ.

[QUOTE=Edgor;106313]Помогите пожалуйста новичку разобраться с настройкой обновления! Читал хелп но чегото не допонял, может руки кривые.
Опишу задачу: Имеется локальная сеть, в сети есть сервер который через Инет обновляет базы Nod32 и Касперского. Далее клиенты забирают с этого сервака обновления. Необходимо то же самое настроить для AVZ.[/QUOTE]
Если сервер под Windows, то это просто. Для этого необходимо:
1. Поставить на сервер AVZ, организовать его запуск через планировщик со скриптом update.txt следующего вида:
[code]
var
S : string;
begin
// Обновление баз
if ExecuteAVUpdate then S := 'Обновление прошло успешно'
else S := 'Ошибка обновления баз AVZ';
// Протоколирование
AddLineToTxtFile(GetAVZDirectory + 'avz_upd.log', DateTimeToStr(Now)+' '+S);
// Завершение работы AVZ
ExitAVZ;
end.
[/code]
в кроне запуск AVZ будет именть вид
avz.exe HiddenMode=1 script=update.txt

2. далее папку с AVZ расшарить и на клиентских ПК запускать AVZ прямо из нее (размер у него маленький и на сеть нагрузки не будет). Можно это автоматизировать скриптом, и организовать автокарантин подозрительных файлов на сервер.

@Олег Зайцев
Вопросик:
Если используется Boot Cleaner (BC_Activate), то ExecuteSysClean используется после перезагрузке вместе с Boot Cleaner при его работе.

[QUOTE=PavelA;106329]@Олег Зайцев
Вопросик:
Если используется Boot Cleaner (BC_Activate), то ExecuteSysClean используется после перезагрузке вместе с Boot Cleaner при его работе.[/QUOTE]
Нет. ExecuteSysClean чистит хвосты в реестре до перезагрузки, а Boot Cleaner добавает что ему положено после перезагрузки.

[QUOTE=Зайцев Олег;106359]Нет. ExecuteSysClean чистит хвосты в реестре до перезагрузки, а Boot Cleaner добавает что ему положено после перезагрузки.[/QUOTE]

[CODE]
begin
deletefile;
importdeletlist;
bc_activaite;
executesysclean;
RebootWindows;
end
[/CODE]

В этом случае executesysclean что-нибудь почистит или нет?

Олег,

можно сделать функцию скрипта (желательно через драйвер) "заменить файл такой-то оттуда-то файлом таким-то оттуда-то"?

[QUOTE=PavelA;106376][CODE]
begin
deletefile;
importdeletlist;
bc_activaite;
executesysclean;
RebootWindows;
end
[/CODE]

В этом случае executesysclean что-нибудь почистит или нет?[/QUOTE]
да, почистит ... - до перезагрузки. А BC добавит после - добъет оставшиеся неудаленными файлы. Для надежности в начале скрипта следует еще AVZGuard включить - на случай, если зловред в цикле пересоздает свои ключи реестра.

[QUOTE=NickGolovko;106383]Олег,

можно сделать функцию скрипта (желательно через драйвер) "заменить файл такой-то оттуда-то файлом таким-то оттуда-то"?[/QUOTE]
В 4.26 сделаю - функцию BC_CopyFile(from, to).

Включил AVZPM, максимальную эвристику, блокировку всех руткитов... Запустил сканирование С: и вскоре получил BSOD:
STOP: 0x0000008E (0xC0000005, 0xF78A7810, 0xF34CE524, 0x00000000)
ute4odkw.sys - Address F78A7810 base at F78A6000, DateStamp 45e7c098

(AVZ 4.25)

Minidump: http://uploaded.to/?id=n4h53w
("Вложить файлы" почему-то не работает)

[quote=Kuzz;105279]Сегодня попробую проверить это на чистой системе.[/quote]
На свежеустановленой системе, без какого-либо установленого постороннего софта (установка по умолчанию, все роли выключены) АВЗ выдал 8 таких сообщений.
Через минут 5-7 таких строчек уже 12.

P.S. Версию АВЗ в названии темы наверное стоит исправить.

Не планируется ревизор реестра по типу уже существующего ревизора диска?

Версия AVZ 4.24 - 4.25
-----------------------
Столкнулся с ситуацией, когда потребовалось работать с AVZ в режиме командной строки и с удивлением обнаружил, что несмотря на то, что проверка архивов в опциях командной строки включена, параметр CheckArchives=Y (и в интерфейсе это отображается), проверка одиночного zip-файла (тестировался zip с вирусом внутри) с параметром SCANFILE= (или вообще без параметра, что означает отсутствие знака "=") не выполняется. Другие контейнеры (mht, msg) и архивы (rar) при этом проверяются (насколько я понял - ace и 7z пока не поддерживаются).
Также, при проверке папок, почему-то помечается и проверяется не только папка назначения, но и папка на уровень выше: например, при указании "C:\Program Files\The Bat!\MAIL\EZ\Attach\DeBora\" будет также полностью проверена папка "C:\Program Files\The Bat!\MAIL\EZ\Attach\", но проявляется это не всегда, т.е. не со всеми каталогами, а только с некоторыми - системы я не нашел.

Теперь о том, чего в программе лично мне не хватает - это интеграции в shellextension (контекстное меню Проводника).
У меня часто бывают ситуации, когда приходится бороться с вирусами и им подобной мерзостью "in wild" и некоторые из них блокируют теми или иными способами запуск любых exe-приложений, в т.ч. и в safe mode (если он вообще доступен). Так же могут быть заблокированы вызовы диспетчера задач, запуск mmc-консоли и её расширений и т.д. Но при этом могут работать (а, как правило, так и есть) ассоциации - т.е. запуск приложений по зарегистрированным типам файлов, а также контекстное меню Проводника.
В результате через контекстное меню Проводника AVZ запустить всё же можно. Так же можно и установить это контекстное меню - ведь ассоциация с inf-файлом работает - и по установке, и по его редактированию.
В одном из подобных случаев мною, на скорую руку, была сделана интеграция AVZ в shell через inf - все другие пути лечения были недоступны - HDD подключить к другому ПК возможности не было и все другие антивирусы, копируемые для установки, вирусом тут же убивались - DrWEB вместе с CureIT, AVP и т.д. Только так от вирусов избавиться и удалось.
inf-файл прилагаю.
ЗЫ: 1. Отредактируйте в конце inf-файла параметр AVZDir для указания расположения папки с AVZ (по умолчанию C:\AVZ4)
2. Также можно на своё усмотрение изменить параметры запуска программы в режиме командной строки - параметры CmdLine и CmdAdd
3. Имя inf-файла менять не стоит