[quote=Зайцев Олег;163093]Нет. Он возникает на W2K SP4, я ловлю его[/quote]
Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?
Printable View
[quote=Зайцев Олег;163093]Нет. Он возникает на W2K SP4, я ловлю его[/quote]
Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?
Олег, у тебя наверное л.с. забит, поэтому пишу тут :
Насчёт ближайшего релиза -
Не забудь пожалуйста обновить исправления в английской части программы и хепл английский включить в зип, тзкже чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа ;)
[quote=Jef239;163141]Олег, хочешь я под дельфийским отладчиком посмотрю в чём там дело?[/quote]
Отладчик даст место (я его и так знаю), но не причну - поэтому не стоит терять времени. Гораздо интереснее другое - тест на чистом W2K, чтобы понять, это проблема AVZ + W2K или AVZ + W2K + Outpost
[QUOTE=drongo;163255]Олег, у тебя наверное л.с. забит, поэтому пишу тут :
Насчёт ближайшего релиза -
Не забудь пожалуйста обновить исправления в английской части программы и хепл английский включить в зип, тзкже чтобы автоматом выбирался английский хелп , когда в английском интерфейсе запускаеться программа ;)[/QUOTE]
+1
:)
А принципиально нового в AVZ не планируеться?
Так как смотрю что вредоносные программы часто помешают себя в некоторые каталоги, может в отчете avz показывать список потенциально опасных файлов в директориях в которых они по идее не должны находится например(Все без подкаталогов):
[CODE]
Тут искать *.exe *.dll *.sys *.com *.pif *.bat *.cmd *.vbs *.js *.ocx
C:\WINDOWS\Temp
C:\Documents and Settings\%username%\Local Settings\Temp
C:\WINDOWS\Downloaded Program Files
C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files
C:\Program Files
C:\Documents and Settings\All Users\Application Data
Исключить *.sys
C:\WINDOWS\system32\drivers
Исключить *.dll
C:\WINDOWS\system
Искать только *.sys
C:\WINDOWS\system32
C:\WINDOWS
Искать только *.exe *.dll *.vbs *.js *.ocx
C:\
[/CODE]
Правда размер лога может вырасти...
[quote=Зайцев Олег;163263] Гораздо интереснее другое - тест на чистом W2K, чтобы понять, это проблема AVZ + W2K или AVZ + W2K + Outpost[/quote]
При остановленном Outpost (и EXE и сервис) эффект тот же. Выгрузить ещё и драйвера?
В теме [url]http://virusinfo.info/showthread.php?t=15556[/url]
странные пути у файлов в секции "Модули пространства ядра". С переменной
%SystemRoot% все в прорядке. Может ли это быть вызвано нестандартным именем папки для установки Windows (C:\WINDOWS.1)?
[QUOTE=Jef239;163426]При остановленном Outpost (и EXE и сервис) эффект тот же. Выгрузить ещё и драйвера?[/QUOTE]
Обязательно. Драйвера как раз самые подозреваемые и есть.
[quote=pig;163537]Обязательно. Драйвера как раз самые подозреваемые и есть.[/quote]
Анинсталировал Outpost вообще. Запустил AVZ - баг на месте. То есть это вообще не OutPost виноват. А именно SP4. Какие дальше эксперименты делать?
Олег, может быть ты скажешь, где взять текст стандартного скрипта номер 2, а я посмотрю, на какой команде (группе команд) этого скрипта лажает? Да, почти наверняка оно валится на VarClear. Возможно потому, что в вариантной переменной юникодная строка (или мусор). Если ОЧЕНЬ надо - могу под отладчиком посмотреть, где оно всё-таки падает. Но мне будет легче смотреть, если будет известна одна операция скрипта, а не ждать пока весь скрипт пройдёт.
Ещё вариант - можешь обвещшать все вариантные операции отладочной инофрмацией, а я запущу у себя и пришлю трассу.
P.S. У меня фактически preSP5 стоит. То есть все последние патчи + выходивший где-то год назад preSP5.
Да, и еще мои 5 рублей по поводу нововведений в 4.29
Есть основания говорить, что в подозрительные объекты в отчете исследования системы попадает не все. Например, драйверы с цифровой подписью, которые ничего не перехватывают, но при этом загружены в память и являются явными зловредами:
[QUOTE]C:\WINDOWS\System32\Drivers\ndisrd.sys NDISRD helper driver Copyright [B]NT Kernel Resources© 2002-2003[/B] [/QUOTE]
Хотя, если подумать, то автоматику тут использовать почти невозможно. Если только она сама гуглить не станет по именам файлов...
Прикрепил архив с отчетом, который иллюстрирует ситуацию.
Очевидно, как раз для таких случаев и потребуется helpdesk...
У меня 2 предложения по АВЗ.
1. Иногда трояны подменяют собой системные файлы, и при их удалении система не поднимается. Думаю стоит добавить в АВЗ базу данных имён системных файлов (включая полный путь, конечно) и помечать такие файлы в логе. Так хелперы смогут понять что нельзя просто удалять файл, а нужно его заменить на чистый.
Если это проблемно с точки зрения объёма базы, то хотя бы писать в неё файлы которые наиболее часто подменяются троянами.
2. Иногда системные файлы не изменяются, а просто в реестре изменяется ссылка, на файл трояна. Опять же, в случае удаления система не поднимится. Предлагаю так же добавить базу данных ключей изменяемых троянами, и выдавать предупреждения в случае если они ссылаются на файлы отличные от стандартных.
[quote=Geser;163660]У меня 2 предложения по АВЗ.
1. Иногда трояны подменяют собой системные файлы, и при их удалении система не поднимается. Думаю стоит добавить в АВЗ базу данных имён системных файлов (включая полный путь, конечно) и помечать такие файлы в логе. Так хелперы смогут понять что нельзя просто удалять файл, а нужно его заменить на чистый.
Если это проблемно с точки зрения объёма базы, то хотя бы писать в неё файлы которые наиболее часто подменяются троянами.
2. Иногда системные файлы не изменяются, а просто в реестре изменяется ссылка, на файл трояна. Опять же, в случае удаления система не поднимится. Предлагаю так же добавить базу данных ключей изменяемых троянами, и выдавать предупреждения в случае если они ссылаются на файлы отличные от стандартных.[/quote]
Принимается. Это уже реализовано, и первое, и второе ... в версии 4.29. Осталось только базы набить ..
[QUOTE=Зайцев Олег;163682]Принимается. Это уже реализовано, и первое, и второе ... в версии 4.29. Осталось только базы набить ..[/QUOTE]
Я еще не копался в новой версии. Я так понял что это сейчас в визардах. Но нужно что бы пометки были в соответствующих разделах HTML отчета. Т.е. если это процесс, то в списке процессов и т.д.
Лучше также убрать для таких файлов в HTML отчете ссылки на автогенерацию комманд удаления. Так меньше шансов что хелпер по ошибке их все же удалит.
Есть ли новый, исправленный релиз (> 4.29.0.9)?
[quote=santy;163743]Есть ли новый, исправленный релиз (> 4.29.0.9)?[/quote]
Только что скачал - на сайте по-прежнему 4.29.0.9
Посмотрел лог новой версии. Очень понравилось что теперь для драйверов есть как опция удалить файл, так и опция остановить/удалить... службу.
Предлагаю для всех остальных объектов автозапуска добавить опцию удаления ключа из реестра.
Думаю так же будет полезно хинтом прописывать полный путь к этому ключу и его значение
В версии 4.29 при использовании ревизора: база создается,но при сравнении диск<>база,при выборе файла базы, в строке [i]тип файлов[/i] стоит:[b]$AVZ1129[/b]. Соответственно не запускается проверка. Скачал еще раз архив с АВЗ. Все тоже самое. В версии 4.27 все как надо в этой строке:[b]Файлы ревизора(*.frz)[/b]
Это не только с файлами ревизора, но и со всеми прочими диалогами. :)
[quote=barsukRed;163807]В версии 4.29 при использовании ревизора: база создается,но при сравнении диск<>база,при выборе файла базы, в строке [I]тип файлов[/I] стоит:[B]$AVZ1129[/B]. Соответственно не запускается проверка. Скачал еще раз архив с АВЗ. Все тоже самое. В версии 4.27 все как надо в этой строке:[B]Файлы ревизора(*.frz)[/B][/quote]
Это баг - исправлено