AVZ 3.80 - тестирование, обсуждение, предложения по доработке

Да мне вообще, честно говоря и не в обиду будь сказано, не совсем понятна позиция Олега по вопросу выхода на международную арену и, тем более, рынок. Его продукт уже сейчас на пару порядков опережает подавляющее большинство коммерческих спайварь ремуверов на сцене...

[QUOTE=Xen]Да мне вообще, честно говоря и не в обиду будь сказано, не совсем понятна позиция Олега по вопросу выхода на международную арену и, тем более, рынок. Его продукт уже сейчас на пару порядков опережает подавляющее большинство коммерческих спайварь ремуверов на сцене...[/QUOTE]
"сцена" - это какое-то андеграундно-театральное понятие ;-)

2 Олег:
если EXE или DLL находится в CHM, то выдается сообщение:
G:\chm\x23.chm/{CHM}//trs23.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла

а если он предварительно запакован в архив, то ничего такого предупредительного не выдается:
G:\chm\ysb.chm/{CHM}//ysb_regular.cab/{CAB}/ysbactivex.dll

хотя http-вызов вида ysb.chm::/ysb_regular.cab/ysbactivex.dll также возможен...

Вопрос Олегу Зайцеву.
Сегодня скачал с сайта AVZ v 3.81, а он, при запуске утверждает, что его версия 3.65
Это нормально?

[quote=HumpSoft]Вопрос Олегу Зайцеву.
Сегодня скачал с сайта AVZ v 3.81, а он, при запуске утверждает, что его версия 3.65
Это нормально?[/quote]
Отвечу за Олега , нет не нормально . Это проделки прокси . Сейчас скачал- 3.81 . могу залить на рапидшару если не получиться нормально скачать .

Может архивчик именовать по разному в зависимости от версии? а то уже далеко не первый раз проксированный народ жалуется...

Точно, включил опцию "Не брать из кеша" и все стало ОК

[QUOTE=Xen]Да мне вообще, честно говоря и не в обиду будь сказано, не совсем понятна позиция Олега по вопросу выхода на международную арену и, тем более, рынок. Его продукт уже сейчас на пару порядков опережает подавляющее большинство коммерческих спайварь ремуверов на сцене...[/QUOTE]
Олег зaнимается этим. Просто, как я понял, относится к этому ответственно... :D

[QUOTE=DimaT]Олег зaнимается этим. Просто, как я понял, относится к этому ответственно... :D[/QUOTE]
Ага. Занимается... :) или одно из двух :)

2Олег: AVZ громко ругается уже, обновлений требует обновлений ;-)).

[QUOTE=Iceman]2Олег: AVZ громко ругается уже, обновлений требует обновлений ;-)).[/QUOTE]
Раз требует, значит придется его положит :)
На самом деле пора - я все хотел первую версию с английским интерфейсом, но не успеваю ...

Ну и отлично! Ждём.

[QUOTE=Iceman]Ну и отлично! Ждём.[/QUOTE]
Новая версия 3.82 на штатном месте
[+] Доработки антируткита - окончательное устранение проблем с DEP на Windows 2003 SP1
[+] Исследование системы - вместо столбца "Маскировка" сделан столбец "Информация" - в него выводится размер файла, атрибуты, даты
модификации и создания файла. Если процесс маскируется, то данные об этом выводятся в этом-же столбце
[++] Новые микропрограммы восстановления системы в базе (доработаны имеющиеся, добавлены три новых)
[+] Доработан анализ файла в автокарантине (для файлов без пути, без расширения и т.п.)
------
База: 17015 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 355 микропрограмы эвристики, 8 микропрограмм восстановления настроек системы, 43523 подписи безопасных файлов

Маленький баг интерфейса: при просмотре карантина, если появляется горизонтальная полоса прокрутки, то она наполовину не видна.
И ещё, может стоит блокировать одновременный запуск нескольких копий АВЗ?

[QUOTE=ALEX(XX)]Маленький баг интерфейса: при просмотре карантина, если появляется горизонтальная полоса прокрутки, то она наполовину не видна.
И ещё, может стоит блокировать одновременный запуск нескольких копий АВЗ?[/QUOTE]
Исправлено ... кстати, там еще один непропатченный баг нашелся - хинт у кнопки "Восстановить"

А отсутствие хинтов у кнопок "Архивировать", "Автодобавление", "Добавить по списку"? Или их там и быть не должно?

[QUOTE=ALEX(XX)]А отсутствие хинтов у кнопок "Архивировать", "Автодобавление", "Добавить по списку"? Или их там и быть не должно?[/QUOTE]
Да, их там не было - прописываю ...
-----------
Кстати, вопрос ко всем - что еще стоит добавить в микропрограммы восстановление системы ??

Кстати, аналогично и в "Просмотр папки Infected", там тоже самое с хинтами.

Здравствуйте Олег !
В основную базу AVZ 3.82 включен вирус Win32.HLLW.Steal или надо пользоваться дополнением ? Будет ли AVZ лечить от этого вируса ? Спасибо.

Кстати, Олег, ты обещал скриптик для автоматического создания логов для форуме. Т.е. сканирование автозапуска + исследование системы. ;)

2Олег: О программе - дата выпуска неправильная, вводит в заблуждение ;-)).

[QUOTE=Синауридзе Александр]Здравствуйте Олег !
В основную базу AVZ 3.82 включен вирус Win32.HLLW.Steal или надо пользоваться дополнением ? Будет ли AVZ лечить от этого вируса ? Спасибо.[/QUOTE]

Согласен. Было бы классно! Тем более, что реакция АВЗ на сетевой червь stealth.worm.exe была первой. Огромное спасибо за экстренное обновление!

по новой версии 8_2_0 замечание.

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 457, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 9:18:35
Сканирование длилось 00:00:59

Все же лучше звучит "подозрительные файлы НЕ..."

[U]Некоторые проблемы в Исследовании системы и Автокарантине остались:[/U]

1. В "Драйверах" не опознаются файлы без пути и расширений ([URL=http://virusinfo.info/showpost.php?p=54560&postcount=33]см. лог здесь[/URL]), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

2. Черные дыры в "Модуле расширения проводника" остались.

3. Не может найти файл в "Модуле расширения Internet Explorer". В реестре по CLSID, указанном AVZ, такие строки:
[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{34F8C0D0-06F7-4f71-9E8E-190337851167}]
"Script"="C:\\Program Files\\SaveChm\\SaveChm.vbs"
"ButtonText"="SaveChm"
"HotIcon"="C:\\Program Files\\SaveChm\\SaveChm.dll,207"
"Icon"="C:\\Program Files\\SaveChm\\SaveChm.dll,206"
"MenuStatusBar"="SaveChm"
"MenuText"="SaveChm"
"DefaultVisible"="Yes"
"ClSid"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"[/code]

[quote=Geser]Кстати, Олег, ты обещал скриптик для автоматического создания логов для форуме. Т.е. сканирование автозапуска + исследование системы. ;)[/quote]
Почти все готово - я запостил порвый скрипт из такой серии в теме про чистые файлы - он сканирует систему, вносить все подозрительное и неопознанное в карантин и после этого создает архив с наловленными файлами. На этой неделе я сделаю скрипт для проверки согласно правилам - для этого осталось пару команд в макроязыке протестировать...

[QUOTE=santy]Согласен. Было бы классно! Тем более, что реакция АВЗ на сетевой червь stealth.worm.exe была первой. Огромное спасибо за экстренное обновление!

по новой версии 8_2_0 замечание.

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 457, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 9:18:35
Сканирование длилось 00:00:59

Все же лучше звучит "подозрительные файлы НЕ..."[/QUOTE]
Главное, что "НЕ" с большой буквы :) А фразу я перестрою, "подозрительные файлы ..." действительно звучит лучше
stealth.worm.exe естественно ловится версией 3.82 - главная база включает в себя все апдейты.

в одной из последних тем ([url]http://virusinfo.info/showthread.php?t=3595[/url]) в логе 3.81 была такая запись в разделе "Автозапуск":
explorer.exe -- Ключ реестра C:\WINDOWS\system.ini, boot, shell
по моему вместо "Ключ реестра" должно стоять что-то типа "INI-файл"

и там же в строке
C:\WINDOWS\system32\userinit.exe, -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
стоит лишняя "," после имени файла (возможно поэтому файл не будет опознаваться по базе чистых)

Скачал новую версию. У меня в папочке /avz есть папка /подозрение. в ней 145 метров. Запускаю сканирование только этой папки - результат.

Протокол антивирусной утилиты AVZ версии 3.82
Сканирование запущено в 06.10.2005 14:51:22
...
3. Сканирование дисков
....
Просканировано файлов: 0, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 14:51:22
Сканирование длилось 00:00:00

[QUOTE=anton_dr]Скачал новую версию. У меня в папочке /avz есть папка /подозрение. в ней 145 метров. Запускаю сканирование только этой папки - результат.

Протокол антивирусной утилиты AVZ версии 3.82
Сканирование запущено в 06.10.2005 14:51:22
...
3. Сканирование дисков
....
Просканировано файлов: 0, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 14:51:22
Сканирование длилось 00:00:00[/QUOTE]
Да, это сделано специально - AVZ-у запрещено сканировать и лечить все, лежащее в его папке. Сделано умышленно ...

[QUOTE=Зайцев Олег]Да, это сделано специально - AVZ-у запрещено сканировать и лечить все, лежащее в его папке. Сделано умышленно ...[/QUOTE]
А, хорошо.

[quote=Зайцев Олег]Да, это сделано специально - AVZ-у запрещено сканировать и лечить все, лежащее в его папке. Сделано умышленно ...[/quote]
я, кстати, спрашивал об этом в привате, но ответа так и не получил. раз есть такая фича, то нужно честно о ней предупреждать, чтобы не вводить пользователя в заблуждение. а то чтоже это получается за карантин, который никогда не проверяется?

[QUOTE=MOCT]я, кстати, спрашивал об этом в привате, но ответа так и не получил. раз есть такая фича, то нужно честно о ней предупреждать, чтобы не вводить пользователя в заблуждение. а то чтоже это получается за карантин, который никогда не проверяется?[/QUOTE]
Я вроде-бы отвечал (честно говоря не помню ...), тут есть два момента:
1. Были случаи залечивания папки Infected
2. Били случаи кумулятивного карантина
Поэтому я блокировал проверку всего, что в текущей папке AVZ (т.е. папке, из которой стартован EXE). Т.к. AVZ лежит по умолчанию в отдельной папке, то это не влияет на его работу.
В доке я это пропишу ....

А зачем собственно проверять карантин? Есть возможность его промотра, этого достаточно. Вот если бы было обновление баз, а не всей программы вцелом, то тогда можно было бы сделать проверку карантина на опознавание содержащихся там подозрительных объектов.

Коллеги! Подскажите. пожалуйста, почему на ФТП сервере я вижу размер файла signf002.avz - 11264, а реально получается - 10409?

А AVZ этот файл принимает ?? Если да, то файл скачался верно ... я например вижу размер 10409 (FTP клиент, втроенный в FAR). Возможно, FTP клиент шалит ??

Качайте в BINARY режиме и будет вам щастье

О, а из дома вижу как надо. Пользуюсь Тотал Коммандером. Правда версии разные. Может и шалит ;-)).

Там сверху переключалка есть =)

Спасибо, обнаружил ;-))).

2Олег: Олег, такой вопрос. Со времён различных эпидемий, у меня остались файлы восстановления настроек реестра. Поддерживает ли АВЗ все эти вещи в настоящее время? (Т.е. можно ли выкинуть все эти файлы уже? ;0-))).

[QUOTE=Iceman]2Олег: Олег, такой вопрос. Со времён различных эпидемий, у меня остались файлы восстановления настроек реестра. Поддерживает ли АВЗ все эти вещи в настоящее время? (Т.е. можно ли выкинуть все эти файлы уже? ;0-))).[/QUOTE]
Аналог ie.reg точно есть (только расширенный);
аналог lsp_xp.reg и NET-LSP.txt я пока не делал, т.к. лечние ошибок LSP в AVZ делает нечто подобное, только корректно.
setassoc.reg, UNDO.REG, Fixswen.inf - этого точно можно выкинуть, микропрограмма "Восстановление параметров запуска .exe, .com, .pif файлов" делает на порядок больше
------
тут кстати от пользователей все чаще поступают заявки сделать кроме микропрограмм восстановления микропрограммы чистки (удаление кукизов, чистка TEMP, и т.п.)

[QUOTE=Зайцев Олег]тут кстати от пользователей все чаще поступают заявки сделать кроме микропрограмм восстановления микропрограммы чистки (удаление кукизов, чистка TEMP, и т.п.)[/QUOTE]
Чистка TEMP полезно будет. Особенно если будет чистить все временные директории, которых в ХП несколько штук, и не вылетать с ошибкой если файл занят системой. Еще не плохо сделать опцию чистки Prefetch.