AVZ 3.80 - тестирование, обсуждение, предложения по доработке

Здравствуйте Олег !
Да, чистка нужна и не только в TEMP. Организовать все это можно на примере программы Neo Cleaner. Из всех программ это наиболее удачная, простая и не требующая установки. Если в AVZ будет нечто подобное будет просто СУПЕР !!!

[QUOTE=Зайцев Олег]Аналог ie.reg точно есть (только расширенный);
аналог lsp_xp.reg и NET-LSP.txt я пока не делал, т.к. лечние ошибок LSP в AVZ делает нечто подобное, только корректно.
setassoc.reg, UNDO.REG, Fixswen.inf - этого точно можно выкинуть, микропрограмма "Восстановление параметров запуска .exe, .com, .pif файлов" делает на порядок больше
------
тут кстати от пользователей все чаще поступают заявки сделать кроме микропрограмм восстановления микропрограммы чистки (удаление кукизов, чистка TEMP, и т.п.)[/QUOTE]

Понял, спасибо.

[QUOTE=Geser]Чистка TEMP полезно будет. Особенно если будет чистить все временные директории, которых в ХП несколько штук, и не вылетать с ошибкой если файл занят системой. Еще не плохо сделать опцию чистки Prefetch.[/QUOTE]
Temporary Internet Files тоже заюывать не будем. особенно если будет выборочное (настраиваемое) удаление. например, чистка файлов определенного расширения (*.tmp, *.gif и любых других), файлов с нулевой длиной и т.п.

2 Олег
Под Вин98 при указании "Отчет о чистых объектах" окно протокола АВЗ быстро заполняется и при последующим обнаружении гадости, информация о ней не отображется и не записывается в лог.
Может сделать переключтель "Записывать лог непосредственно в файл"?
Юстас

[QUOTE=Гость]2 Олег
Под Вин98 при указании "Отчет о чистых объектах" окно протокола АВЗ быстро заполняется и при последующим обнаружении гадости, информация о ней не отображется и не записывается в лог.
Может сделать переключтель "Записывать лог непосредственно в файл"?
Юстас[/QUOTE]
Да, такой баг у меня в списке доработок и он однозначно будет как-то решен.

[b]Олег[/b]
Небольшое пожелание, после окончания сканирования в списке обнаруженных объектов при копировании в карантин, а также при удалении было бы не плохо добавить ProgressBar выполнения процесса.

И при автодобавлении в карантин. есть кнопка пуск, но нет кнопки "закрыть". Крестик в углу - не очевиден.

[QUOTE=anton_dr]И при автодобавлении в карантин. есть кнопка пуск, но нет кнопки "закрыть". Крестик в углу - не очевиден.[/QUOTE]
Исправлено ... аналогично я сделал в карантине по списку и исследовании системы

[QUOTE=Grey][b]Олег[/b]
Небольшое пожелание, после окончания сканирования в списке обнаруженных объектов при копировании в карантин, а также при удалении было бы не плохо добавить ProgressBar выполнения процесса.[/QUOTE]
Постараюсь - можно наверное сделать всплывающее окно с прогрресс-индикатором

[QUOTE=Зайцев Олег] всплывающее окно с прогрресс-индикатором[/QUOTE]
Так наверное даже получше будет.

[b]Олег[/b]
Вот еще чего не хватает, визуально сильнее обращать внимание на найденные обекты в окне лога, например выдиление цветом или жирным шрифтом. Знаю, что сейчас используется контрол Memo, но такая функциональность нужна.

Давно пора было перейти на RichEdit ;-)

новые предложения/напоминяния:
1. проверка RAR-архивов
2. проверка SFX
3. проверка инсталляторов, хотябы от NullSoft, потому что некоторые трояны уже в них распространяются (пример - IstBar). исходники или описания формата можно взять у разработчиков плагинов к FAR
4. онлайн проверка на вирусы. скрипт для закачки уже есть, ограничить размер файлов до 1 мегабайта, класть закаченное в отдельную папку (имя зависит от текущего времени), запускать консольный/скрытый сканер, проверять процент сжатия архивов (чтобы избежать архивных бомб), потом парсить логи и выкладывать на web

[QUOTE=MOCT]
4. онлайн проверка на вирусы. скрипт для закачки уже есть, ограничить размер файлов до 1 мегабайта, класть закаченное в отдельную папку (имя зависит от текущего времени), запускать консольный/скрытый сканер, проверять процент сжатия архивов (чтобы избежать архивных бомб), потом парсить логи и выкладывать на web[/QUOTE]
Хостинг на *NIX сервере :)

[QUOTE=Geser]Хостинг на *NIX сервере :)[/QUOTE]
ну, Geser, прям как маленький! :)
я же не сказал, что это должно крутиться там же, где сам форум ;)

[QUOTE=MOCT]ну, Geser, прям как маленький! :)
я же не сказал, что это должно крутиться там же, где сам форум ;)[/QUOTE]
Гы, а у кого есть личныйк сервер? У меня нет :)

[quote=Geser]Гы, а у кого есть личныйк сервер? У меня нет :)[/quote]
а у кого-то есть :-)

[QUOTE=MOCT]а у кого-то есть :-)[/QUOTE]
Тогда без проблем :) В принципе зип уже проверяется, можно написать что бы ложили только в зипе и сделать проверку расширения. Так что можно начинать осуществление :)

А всеми здесь любимые компании не проспонсируют ли VDS на винде? :)

[QUOTE=Geser]Тогда без проблем :) В принципе зип уже проверяется, можно написать что бы ложили только в зипе и сделать проверку расширения. Так что можно начинать осуществление :)[/QUOTE]
а именно - написание скрипта, закачивающего файл в отдельную папку, генерирующий скрипт для AVZ с указанием сканирования только этой папки (и никакого скана системы, памяти и т.п.), запускающего AVZ с этим скриптом, ждущего окончания процесса, парсящего лог и выдающего пользователю лог в виде Web-страницы.
еще неплохо убедиться у Олега, что zip-бомбы обходятся.
и сообщить мне минимальные требования к ресурсам самого AVZ и скрипта закачки, а я уж буду над хостингом думать.

[QUOTE=MOCT]а именно - написание скрипта, закачивающего файл в отдельную папку, генерирующий скрипт для AVZ с указанием сканирования только этой папки (и никакого скана системы, памяти и т.п.), запускающего AVZ с этим скриптом, ждущего окончания процесса, парсящего лог и выдающего пользователю лог в виде Web-страницы.
еще неплохо убедиться у Олега, что zip-бомбы обходятся.
и сообщить мне минимальные требования к ресурсам самого AVZ и скрипта закачки, а я уж буду над хостингом думать.[/QUOTE]
Есть тестовый вариант движка AVZ для *nix (а точнее - для Linux). У меня есть возможность установить сервер с выходом в Инет - но все упирается не в сервер, а в трафик - в Смоленске 1 ГБ входящего трафика стоит 100$.

[QUOTE=Зайцев Олег]трафик - в Смоленске 1 ГБ входящего трафика стоит 100$.[/QUOTE]
Ип......цца. Конкуренции на них нет :-((((. У нас в доме интернет предлагают 4 или 5 провайдеров. Так цены заметно упали и стали приятными (не хостинг, конечно, но для понимания)...

[QUOTE=Зайцев Олег]Есть тестовый вариант движка AVZ для *nix (а точнее - для Linux). У меня есть возможность установить сервер с выходом в Инет - но все упирается не в сервер, а в трафик - в Смоленске 1 ГБ входящего трафика стоит 100$.[/QUOTE]
ну не знаю, устроит ли Geser'а бинарник для линукса. поэтому надо отталкиваться от обычного виндовс хостинга

[QUOTE=MOCT]а именно - написание скрипта, закачивающего файл в отдельную папку, генерирующий скрипт для AVZ с указанием сканирования только этой папки (и никакого скана системы, памяти и т.п.), запускающего AVZ с этим скриптом, ждущего окончания процесса, парсящего лог и выдающего пользователю лог в виде Web-страницы.
еще неплохо убедиться у Олега, что zip-бомбы обходятся.
и сообщить мне минимальные требования к ресурсам самого AVZ и скрипта закачки, а я уж буду над хостингом думать.[/QUOTE]
Скрипт закачки не проблема, и ресурсов он почти брать не будет. Только нужен сервер с поддержкой PHP, а при желании сохранять какую-то статистику не помешает и Мускул

[QUOTE=MOCT]ну не знаю, устроит ли Geser'а бинарник для линукса. поэтому надо отталкиваться от обычного виндовс хостинга[/QUOTE]
Меня берут сомнения что хостер разрешит бинарники запускать. Кстати, стоит у них Red Hat

Я - новичок, и заранее прошу извинить, если пишу не в тему. Лечился от Trojan-Downloader.Win32.Mediket.bg и AVZ 3.82 - единственная программа, которая его нашла. Вещь, безусловно, классная (AVZ, конечно), НО: среди прочей дряни оказались Trojan.Click.661 и Adware.SaveNow, которые AVZ не нашел, а Dr.Web CureIt - нашел. Это интересно?

[QUOTE=Rhino]среди прочей дряни оказались Trojan.Click.661 и Adware.SaveNow, которые AVZ не нашел, а Dr.Web CureIt - нашел. Это интересно?[/QUOTE]
присылайте эти файлы в архиве с паролем virus на [email][email protected][/email] , автор AVZ изучит их и добавит в базу

[quote=Rhino]Я - новичок, и заранее прошу извинить, если пишу не в тему. Лечился от Trojan-Downloader.Win32.Mediket.bg и AVZ 3.82 - единственная программа, которая его нашла. Вещь, безусловно, классная (AVZ, конечно), НО: среди прочей дряни оказались Trojan.Click.661 и Adware.SaveNow, которые AVZ не нашел, а Dr.Web CureIt - нашел. Это интересно?[/quote]
Да, если AVZ что-то не ловит - присылайте, я внесу в базы.

Олег а ещё пожелания принимаются ?
А то завалялась вот парочка .....
1. - Исследование - упростить как нибудь "Информацию", а то целых 6 строк, именно высота колонки, а не содержимое.
[code]7.00 кб,
атрибуты: rsAh,
создан: 21.09.2005
23:24:19,
изменен: 16.10.2005
15:23:49
[/code]
Ну к примеру -
[code]14.00 кб, rsAh,
c:19.09.2005 23:59:06,
m:21.01.2004 9:45:48
[/code]
2. Тоже самое добавить к списку DLL.
3. В (c) Добавить версию файла.

[QUOTE=RiC]Олег а ещё пожелания принимаются ?
А то завалялась вот парочка .....
1. - Исследование - упростить как нибудь "Информацию", а то целых 6 строк, именно высота колонки, а не содержимое.
[code]7.00 кб,
атрибуты: rsAh,
создан: 21.09.2005
23:24:19,
изменен: 16.10.2005
15:23:49
[/code]
Ну к примеру -
[code]14.00 кб, rsAh,
c:19.09.2005 23:59:06,
m:21.01.2004 9:45:48
[/code]
2. Тоже самое добавить к списку DLL.
3. В (c) Добавить версию файла.[/QUOTE]
Еще как принимаются :)
Сегодня класти выходит апдейт из-за баз, к концу недели - основной апдейт. Формирование описания файла я преписал по аналогии с образцом

Может я не нашёл, а как добавить в карантин через "обзор"... ?

[QUOTE=Зайцев Олег]Еще как принимаются :)
Сегодня класти выходит апдейт из-за баз, к концу недели - основной апдейт. Формирование описания файла я преписал по аналогии с образцом[/QUOTE]
A намечается ли встроенный (и автономный) апдейтер баз?
И как с обещаемой интернационализацией? :)

[QUOTE=Зайцев Олег]Это не руткит ... просто последнее время модно вместо создания процесса инжектировать в системный процесс свой код, например в виде потока. К слову говоря, аналогично поступает знаменитый nail.exe - он просто создает пару потоков в explorer.exe ...[/QUOTE]
А эти потоки видны в логе исследования системы АВЗ?

[QUOTE=Geser]А эти потоки видны в логе исследования системы АВЗ?[/QUOTE]
Nail - нет, а L2M к примеру виден.

[QUOTE=RiC]Nail - нет[/QUOTE]
Ха, потому помню мучались с ним.
[B]Олег[/B], можно исправить?

[QUOTE=Geser]А эти потоки видны в логе исследования системы АВЗ?[/QUOTE]
Я добавлю в AVZ смотрелку потоков, но беда в том, что у потока то на лбу не написано, правильный он или нет ... - в этом и вся беда. У того-же Explorer.exe потоков штук 5-7 как минимум. Другое дело в том, что потоко кто-то создавать должен - значит, в авторане что-то должно быть левое.

Вышла версия 3.83
[+] Расширен скриптовой язык - добавлен ряд команд
[+] Начиная с версии 3.83 в комплекте идет готовые скрипты, в частности два скрипта для конференции virusinfo.info
[+] Доработан протокол исследования системы
[++] Начиная с версии 3.83 сканер AVZ может подключаться как антивирусный плагин к TheBat. Плагин качается отдельно с [URL="http://z-oleg.com/avz3thebat.zip"]http://z-oleg.com/avz3thebat.zip[/URL] (размер около 230 кб), после распаковки avz_thebat.bav нужно положить в папку AVZ и подключить к TheBat. Краткая инструкция есть в архиве. Плагин применяет те-же базы, что и сканер AVZ
---------
У новой версии база 17335 сигнатур, 1 нейропрофиль, 55 микропрограмм лечения, 356 микропрограмм эвристики, 44358
подписи безопасных файлов.

[QUOTE=Зайцев Олег]Я добавлю в AVZ смотрелку потоков, но беда в том, что у потока то на лбу не написано, правильный он или нет ... - в этом и вся беда. У того-же Explorer.exe потоков штук 5-7 как минимум. Другое дело в том, что потоко кто-то создавать должен - значит, в авторане что-то должно быть левое.[/QUOTE]
Процесс Эксплорер умудряется находить из какого файла был создан поток, правда невсегда и я честно говоря незнаю каких "удовольствий" ему это стоит. Так что стоит ли это добавлять или нет я незнаю, если просто кол-во потоков без указания откуда они взялись, Imho от такой информации толку никакого, иначе смысл есть.

Остались чёрные дыры в "Модули расширения проводника"

[quote=Geser]Остались чёрные дыры в "Модули расширения проводника"[/quote]
Я знаю ... но непонятно пока, что с ними делать. Поэтому я их вывожу как есть. В исследовании системя я применил новый подход на примере DLL - при нажании на ссылку, которой является имя DLL выводится окошко с информацией о файле