Бета-тестирование антивируса "ВирусБлокАда" 2

[QUOTE=HA]Спасибо за сообщение об ошибке обновления. [/QUOTE]
Всегда пожалуйста
[QUOTE=HA]
Об успешном обновлении можно узнать по сообщению:
Downloading file VBA32_W.ini
File VBA32_W.ini download completed
Update is successfully completed[/QUOTE]
Это сообщение горит несколько милисекунд, после чего окно консоли закрывается. При ошибке поведение аналогичное. При этом никаких логов обновления никуда не пишется и точно узнать закрылось окно программы обновления из-за нормального завершения работы или из-за ошибки НЕВОЗМОЖНО.

Пробовал решить проблему самостоятельно, добавлением в скрипт стандартной команды для таких случаев:
if errorlevel 1 pause
Однако update при любой ошибке соединения завершается с кодом 0 ;)

[QUOTE=HA]VBA32 предназначена для детектирования вирусов, а не запароленных архивов.... :) ....
В защищенных паролем архивах вирусы не ищутся, но при настройках VBA32 "Показывать чистые файлы" (/OK), при нахождении запароленного архива может выдаваться (в зависимости от опций архивирования) сообщение типа:
C:\Temp\Start Menu.rar:<RAR>\Start Menu\Programs\Winamp\What's New.lnk : password protected - unable to process.
Вирусы в запароленных архивах опасности для защищаемого ПК практически не несут, а если их запаролили, значит это кому-нибудь нужно.[/QUOTE]
Вы не последовательны.
если опасности не несут - то нечего об этом сообщать!
если уж сообщать о созданных с паролем - так во всех случаях.
я специально написал про 3.0+ поскольку имелись в виду архивы с шифрованием заголовков.

Модуль обновления консольной версии лог не пишет. Если Вы запустите update.bat, к примеру из FARa, то на консоли сможете увидеть все сообщения, которые выдаются в процессе обновления.
Второй вариант - запускайте update.bat >1.txt , и в 1.txt будут все Вас интересующие сообщения.

[QUOTE=MOCT]Вы не последовательны.
если опасности не несут - то нечего об этом сообщать!
если уж сообщать о созданных с паролем - так во всех случаях.[/QUOTE]

Я Вам рассказал о дополнительных возможностях в не основном режиме работы (режим с /OK не является основным). Если имена файлов видны, то о них и выдается информация.
[QUOTE=MOCT]я специально написал про 3.0+ поскольку имелись в виду архивы с шифрованием заголовков.[/QUOTE]

Да. В этом случае об архиве выдается информация, что он - чистый (и это правда), а информации об объектах внутри архива, доступной для ВБА там нет, следовательно, она и не выводится.

Можно ли сохранить базы и обновленные компоненты программы чтоб при переустановке просто скопировать их и иметь обновленный VBA32 :)

[QUOTE=Levin95]Можно ли сохранить базы и обновленные компоненты программы чтоб при переустановке просто скопировать их и иметь обновленный VBA32 :)[/QUOTE]

Можно, в любое место.

[QUOTE=Minos]
Пробовал решить проблему самостоятельно, добавлением в скрипт стандартной команды для таких случаев:
if errorlevel 1 pause
Однако update при любой ошибке соединения завершается с кодом 0 ;)[/QUOTE]
Можно воспользоваться подсказкой и записать лог работы обновления. Там и будет отображен весь процесс обновления:
options: -p=<address:port> - Proxy server address and port
-r=[file] - Saving report in file
-r+[file] - Append report to file
-u=<username:password> - Password for proxy authentication
-no-ntlm - Disable NTLM proxy support

у вас за единообразие кто-нибудь отвечает?
просканировал десяток случайно взятых троянов-пинчей, получил такие результаты:
[code]
Trojan.LdPinch
Trojan.PWS.LDPinch.623
Trojan-PSW.LdPinch.1
Trojan-PSW.Win32.LdPinch.zg
Trojan.Win32.PSW.LdPinch.RG
[/code]
нет ни одного названия, похожего на другие. регистр букв гуляет, знаки препинания тоже, подтипы переставляются местами произвольно, обозначения то буквенные, то числовые. у вас пополнением баз занимаются случайные люди? у продукта должен быть свой СТИЛЬ.

[QUOTE=MOCT]у вас за единообразие кто-нибудь отвечает?
просканировал десяток случайно взятых троянов-пинчей, получил такие результаты:
[code]
Trojan.LdPinch
Trojan.PWS.LDPinch.623
Trojan-PSW.LdPinch.1
Trojan-PSW.Win32.LdPinch.zg
Trojan.Win32.PSW.LdPinch.RG
[/code]
нет ни одного названия, похожего на другие. регистр букв гуляет, знаки препинания тоже, подтипы переставляются местами произвольно, обозначения то буквенные, то числовые. у вас пополнением баз занимаются случайные люди? у продукта должен быть свой СТИЛЬ.[/QUOTE]
Да ладно, ты придераешся :)

[QUOTE=Geser]Да ладно, ты придераешся :)[/QUOTE]
это тоже элемент интерфейса, из подобных мелочей складыватся общее мнение.
это небрежность. небрежность не может быть только тут или только там. если она есть, то она будет везде. и в именах, и в алгоритмах.
если добавлением троянцев одного класса занимались разные люди (а так оно и выглядит), то у них нет целостной картины, у них будет избыточность в написанных процедурах, они не выделят generic сигнатуры и т.п.

Извините за долгое молчание,очень много дел.
Собственно, продолжаю тестирование. заинтересовал следующий вопрос:
При сканирвании некоторых файлов,антивирь выдает сообщение "невозможно открыть для чтения". Я так понимаю,это происходит из-за того,что с фаилом работает какой-то другой процесс.
Если, теоретически, фаил будет вирусом, значит он его пропустит?

И еще заметил баг при обновлении: был слабый коннект,запустил обновление, антивирус предложил скачать 12 мегов обновлений. Отменил,через пару часов снова подключился - все в норме,как обычно.
думаю, он не отправил на сервер статус базы обновлений антивируса на моем компе. К сожалению,лог этого всего не сохранился...

[QUOTE=MOCT]
это небрежность. небрежность не может быть только тут или только там. если она есть, то она будет везде. и в именах, и в алгоритмах.
если добавлением троянцев одного класса занимались разные люди (а так оно и выглядит), то у них нет целостной картины, у них будет избыточность в написанных процедурах, они не выделят generic сигнатуры и т.п.[/QUOTE]
Добавление троянцев идет в несколько этапов. Самая первая задача - начать его детектировать как можно быстрее и без ложных срабатываний, тут не до красивых имен. А устранением избыточности в написанных процедурах, выделением generic сигнатур и т.д. занимаемся постоянно, кстати, именно поэтому в текущей бете счетчик количества записей меньше, чем в релизе. И причем здесь небрежность? Если все делать "правильно" и сразу, то скорость реакции антивируса на новые вирусы/трояны ухудшится. При анализе новых вирусов необходимо соблюдать разумный баланс между двумя крайностями: 'идеально' и 'максимально быстро'.

[QUOTE=hranitel_y2k]
При сканирвании некоторых файлов,антивирь выдает сообщение "невозможно открыть для чтения". Я так понимаю,это происходит из-за того,что с фаилом работает какой-то другой процесс.
Если, теоретически, фаил будет вирусом, значит он
его пропустит?[/QUOTE]
Причин такого сообщения может быть множество. :( , и названная Вами - одна из них. Но во всех случаях - это говорит о том, что данный объект недоступен для проверки антивирусным Сканером в данных условиях (возможно в данный момент) с правами данного пользователя. При запуске данного файла (если в нем будет вирус) - Монитор его обработает и не даст возможности запуститься, т.е. не пропустит.

[QUOTE=hranitel_y2k]И еще заметил баг при обновлении: был слабый коннект,запустил обновление, антивирус предложил скачать 12 мегов обновлений. Отменил,через пару часов снова подключился - все в норме,как обычно.
думаю, он не отправил на сервер статус базы обновлений антивируса на моем компе. К сожалению,лог этого всего не сохранился...[/QUOTE]
Нет, причина в другом....
Проблема при слабом коннекте действительно может быть. Это происходит из-за многократных ошибок при попытках скачивания ini - файла, содержащего список необходимых патчей. В случае, если так и не удалось выкачать этот ini-файл, то программа ищет другой ini-файл (с полными обновлениями) и в случае его удачного выкачивания - предлагает обновиться этим способом. Вы, вероятно, правильно поступили, что отменили такое обновление. Повторная попытка при нормальном коннекте - обычно дает хороший результат. При слабых коннектах для принятия решения об обновлении Вам должно помочь интерактивное обновление...

[QUOTE=Minos]В том-то и дело, что не должно, а есть.
Первая попытка загрузки: загружен файл script.udb (на загрузку ушло около полутора минут), начинает грузится win32.udb и разрываем соединение. [/QUOTE]
1. Исправлена ошибка обновления консольной версии при докачке файлов.
2. Реализована возможность самообновления модуля обновления консольной версии.

[QUOTE=HA]Причин такого сообщения может быть множество. :( , и названная Вами - одна из них. [/QUOTE]
А почему бы не использовать драйвер и не читать с диска напрямую?

Здравствуйте!
Отправлял файлы на [email][email protected][/email] ответа так и не дождался. Программа хорошая, а тех. поддержка отвратительная. Это большой минус !
Поддержка KAV и Dr.Web отвечают на ВСЕ письма !!!
Ответьте уважаемые разработчики. Спасибо.

[QUOTE=Синауридзе Александр]Здравствуйте!
Отправлял файлы на [email][email protected][/email] ответа так и не дождался. Программа хорошая, а тех. поддержка отвратительная. Это большой минус !
Поддержка KAV и Dr.Web отвечают на ВСЕ письма !!!
Ответьте уважаемые разработчики. Спасибо.[/QUOTE]

Спасибо за оценку программы..... А с присланными Вами файлами есть проблема, ее я Вам сразу же описал в письме (проверьте пожалуйста почту (E-mail с этого форума) - вы не указали пароль на архив и не использовали здесь общепринятый - virus.... Полученные письма с проблемными файлами и конкретно заданными вопросами имеют у нас высокий приоритет и мы стараемся на них отвечать оперативно.

[QUOTE=HA] Полученные письма с проблемными файлами и конкретно заданными вопросами имеют у нас высокий приоритет и мы стараемся на них отвечать оперативно.[/QUOTE]
Полностью подтверждаю, на письма по делу ответы приходят и в два часа ночи.:good:

[quote=HA]Причин такого сообщения может быть множество. :( , и названная Вами - одна из них. Но во всех случаях - это говорит о том, что данный объект недоступен для проверки антивирусным Сканером в данных условиях (возможно в данный момент) с правами данного пользователя. При запуске данного файла (если в нем будет вирус) - Монитор его обработает и не даст возможности запуститься, т.е. не пропустит.[/quote]

Пользователь - админ... Наверное, в таком случае поможет работа со сканером под дос...
Монитор его не пропустит,это хорошо. но что делать с такими вирусами, которые блокируют антивирусный монитор? Прецеденты,кажеться были с касперским. Пару раз,пока я не убирал вирус из автозагрузки, сканер зависал и не работал... но это было давно и с капером. А как в этом случае обстоят дела у вашего продукта?
Сканировал комп(чужой),нашел подозрения на пару троянов. вышлю вам... подозрения должны оправдаться...

[QUOTE=hranitel_y2k]Пользователь - админ...[/QUOTE]
и админу не всегда все можно.Есть еще и Система... и пользовательские файлы..... В некоторых случаях можно изменить права и разрешения доступа к файлам.

[QUOTE=hranitel_y2k]Наверное, в таком случае поможет работа со сканером под дос...[/QUOTE]
В некоторых случаях можно. Но лучше использовать другие ОС.... Но и это не все решит.... :( Обсуждение данной проблемы, мне кажется, выходит за рамки бета-тестирования... Это ближе к обезвреживанию ВП под различными ОС.....
[QUOTE=hranitel_y2k]Монитор его не пропустит,это хорошо. но что делать с такими вирусами, которые блокируют антивирусный монитор? Прецеденты,кажеться были с касперским. Пару раз,пока я не убирал вирус из автозагрузки, сканер зависал и не работал... но это было давно и с капером. А как в этом случае обстоят дела у вашего продукта?[/QUOTE]
Да, такие трояны есть (пытаются убить ВБА).... Боремся тем, что стараемся загрузиться как можно раньше и не пропустить запуск трояна. Если все же это произошло - проверяем память и прибиваем процесс. Но на войне как на войне..... бывает всякое. При постоянной защите - это не частые случаи.


[QUOTE=hranitel_y2k]Сканировал комп(чужой),нашел подозрения на пару троянов. вышлю вам... подозрения должны оправдаться...[/QUOTE]
Спасибо, всегда рады.

[QUOTE=Geser]А почему бы не использовать драйвер и не читать с диска напрямую?[/QUOTE]
Это решило бы часть проблем, но полученные плюсы данной реализации пока считаем недостаточно вескими.

А где можно посмотреть список вирусов, которые распознает VBA32?

[QUOTE=Мишка]А где можно посмотреть список вирусов, которые распознает VBA32?[/QUOTE]
мы уже давно не оперируем такими понятиями, как список вирусов и их количество..... (необходимость счетчика и его будущее затрагивалось выше в этом форуме). Поддержание функции вывода списка - под большим вопросом. Но если хотите - в консоли остался ключ
/VL[+|-] - вывод списка известных программе вирусов.
Но еще раз хочу сказать, что он Вам врядли поможет. Основное сейчас для антивируса - дата последнего обновления.

Вообще количество сигнатур не плохо бы оставить и публиковать его так же на сайте, что бы можно было понять что база правильно загрузилась.

Возник вопрос по поводу лечения файлов: насколько коректно осуществляется лечение файлов антивирусом? Ведь может получиться,что некоторые нужные файлы могут остаться битыми. Ведутся ли работы в этой области? и на сколько вероятно полное востановление файла при его лечении?

С нетепением жду модуль антивируса для фаирфокса,вы обещали сделать...

Ни одна антивирусная компания не может гарантировать 100% успеха при лечении файлов и этому есть множество причин: ошибки в самом вирусе, вызывающие порчу поражаемых файлов, множество версий вируса, глюки антивируса и т.д.
Поэтому при лечении любым антивирусом надо ВСЕГДА создавать резервные копии пораженных файлов. В VBA это делается просто: в действиях над зараженными файлами выбираете обезвредить и выставляете галочку Сохранить копию. При таких настройках перед лечением VBA создаст копию зараженного файла и при некорректном обезвреживании вируса всегда можно будет послать в техподдержку образцы зараженного и испорченного файла для исправления лечения.

Обнаружил у себя Symantec antivirus. Снести я его снёс, но такой вопрос: целостность файлов обновлялка проверит при обновлении, а вот проверит ли кто-нибудь регистрацию этих файлов в системе?

[QUOTE=Geser]Вообще количество сигнатур не плохо бы оставить и публиковать его так же на сайте, что бы можно было понять что база правильно загрузилась.[/QUOTE]
Конечно же однозначная индентификация обновления будет оставлена. И она будет понятна пользователям. Пока не отрезали ничего, даже в альфе...

доступна бета-версия vbaclamd -- антивирусного сервера, использующего протокол clamd:
[url]ftp://anti-virus.by/beta/vbaclamd-20060214-linux-glibc2.3.tar.gz[/url]
[url]ftp://anti-virus.by/beta/vbaclamd-20060214-freebsd4.tar.gz[/url]
[url]ftp://anti-virus.by/beta/vbaclamd-20060214-freebsd5.tar.gz[/url]

можно использовать вместо clamd. для клиента надо только указать, на каком сокете слушает сервер. проверял с clamdscan, exim.

эта версия работает только с локальным сокетом.

ps
при проверке каталоги рекурсивно разбираются по элементам, все
остальное проверяется как файл -- будьте осторожны с симлинками и
специальными файлами. прошу поделиться мыслями, стОит ли добавлять обработку таких специальных случаев, какие варианты \ настройки нужны..

Доступна бета-версия Комплекса Vba32 с измененным интерфейсом Сканера.
1. Реализованы многочисленные пожелания бета-тестеров по расширению функциональности окна статистики.
2. Добавлена возможность обезвреживания скриптовых вирусов.
По первому пункту - интересны мнения и предложения по доработке функционала.
По второму - интересны файлы с ложными срабатываниями и необнаруженными скриптовыми вирусами.

Vba32 продолжает не распознавать заплатки от Ms как архивы. Неприоритетная задача?
--------------------------
User: Official beta tester
License #000000119 Valid till 30.04.2006
Computer: xyz
System: Windows XP
Command line options:
/r+vba.log /l=vba32.lst /ha=3 /collect_suspects /pm+ /af+ /ar+ /ok+ /bt- /mr- /ml+ /rw+ /as-
Program settings:
/r+vba.log /l=vba32.lst /ha=3 /collect_suspects /pm+ /af+ /ar+ /qu+ /ok+ /ml+ /rw+

Loaded 150556 virus definitions.
.
.\q329256_WXP_SP2_x86_RUS.exe : ok
.\q329623_WXP_SP2_x86_RUS.exe : ok
.\xpsp1_ru_x86.exe : ok
--------------------

После вчерашнего апдейта ВБА ловит notepad.exe в Win2K SP4 как Троян. Даунлоадер.Смалл.аи.

[QUOTE=MedvedD]После вчерашнего апдейта ВБА ловит notepad.exe в Win2K SP4 как Троян. Даунлоадер.Смалл.аи.[/QUOTE]
Вчера утром уже закрыли это срабатывание. Обновитесь, плз.

У меня проблема, после утреннего обновления вирусных баз, перестал загружаться VBA32... Я один такой счастливый или у меня компания друзей по несчастью найдется? :-)

Баг-репорт на <[email protected]> отослал...

[QUOTE=Мишка]У меня проблема, после утреннего обновления вирусных баз, перестал загружаться VBA32... Я один такой счастливый или у меня компания друзей по несчастью найдется? :-)[/QUOTE]
Надеемся, что не так много... :)

[QUOTE=Мишка]Баг-репорт на <[email protected]> отослал...[/QUOTE]
Лучше (оперативнее будут решаться) высылать вопросы по бете на [email][email protected][/email].
Для решения проблемы нужно (минут через 15):
1. Удалить файл VBA32NTW.ini.
2. Запустить Vba32ldr.exe
3. Восстановить программу, дождавшись когда она скачает недостающие компоненты с пути обновления для бета-версии (у Вас это [url]http://www.anti-virus.by/beta/update/)[/url].
Извините за доставленные неудобства.

[QUOTE=HA]
Лучше (оперативнее будут решаться) высылать вопросы по бете на [email][email protected][/email].
[/QUOTE]

В будущем учту.

[QUOTE=HA]
Для решения проблемы нужно (минут через 15):
1. Удалить файл VBA32NTW.ini.
2. Запустить Vba32ldr.exe
3. Восстановить программу, дождавшись когда она скачает недостающие компоненты с пути обновления для бета-версии (у Вас это [url]http://www.anti-virus.by/beta/update/)[/url].
Извините за доставленные неудобства.[/QUOTE]

Все заработало, спасибо за решение. Вопрос остался, а что это было? :-)

Уважаемые разработчики!
Будет ли реализована полная поддержка FUS(Fast User Switch)? Если будет, то когда?

[QUOTE=userr]Vba32 продолжает не распознавать заплатки от Ms как архивы. Неприоритетная задача?
--------------------------
User: Official beta tester

--------------------[/QUOTE]
Задача действительно не самая приоритетная ( заплатки от Ms, как архивы), но частично разбор реализовали.
Можно обновиться.....

[QUOTE=sergey_gum]Уважаемые разработчики!
Будет ли реализована полная поддержка FUS(Fast User Switch)? Если будет, то когда?[/QUOTE]
Поддержка реализована будет. К полной - будем стремиться. Не в 3.11...

Начнем с плохого... тормоза при загрузке пока так и остались... зато появились номера процессов:)
Эвристик и возможность консольного использования только радует,особенно при чистке систем от вирусов:) Правда не всегда получается скопировать отчеты и отправить вам:(
А это "up000003.krn" что? Что то новое?