AVZ 3.80 - тестирование, обсуждение, предложения по доработке

[QUOTE=user]при сканировании AVZ нашел :
C:\Program Files\NewDotNet\newdotnet6_38.dll >>>>> Spy.NewDotNet удаление запрещено настройкой
C:\Program Files\NewDotNet\uninstall6_38.exe >>>>> AdvWare.NewDotNet удаление запрещено настройкой

Проблема в том,что если попытаться удалить их,то вырубается и-нет полностью, ни востановление системы, ни что то еще не спасают. Единстенное решение - переустановка ОС.
Что делать?[/QUOTE]
На той машине где найдены newdotnet6_38.dll
АВЗ->Менеджер Winsock...
Сохранить протокол, в зип и в студию

[QUOTE=user]при сканировании AVZ нашел :
C:\Program Files\NewDotNet\newdotnet6_38.dll >>>>> Spy.NewDotNet
C:\Program Files\NewDotNet\uninstall6_38.exe >>>>> AdvWare.NewDotNet
Что делать?[/QUOTE]
1. Вопросы "Как быть" и "Что делать" задают в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]помогите[/url]
2. Догадаться с 1-го раза зачем нужен [b]uninstall6_38.exe[/b]
+++++++++++++++++++++++++++++++++++++++++++++++++++++++

Теперь по теме топика -

в Диспечере процессов нужна возможность прибить несколько процессов [b]сразу[/b], пометить или галками или с шифтом или ещё как, но чтобы закрыть одновременно, и не давать запускаться тому, что закрыли, короче способ вытряхивания из памяти заразы состоящей из нескольких кусков, которые не дают выгружать друг друга.

RiC :) Может я,как там говорится, мал и глуп, но unistaller не работает,в логе Winsock ниче подазрительного нет, т.е валятся они валяются,а вредить не вредят.

P.S это раньше при удалении их падал и-нет,после установки новой ОС я не пробовал

[QUOTE=user]RiC :) Может я,как там говорится, мал и глуп, но unistaller не работает,в логе Winsock ниче подазрительного нет, т.е валятся они валяются,а вредить не вредят.[/QUOTE]
Я же просил - вопросы в "помогите", а вообще посмотрите внимательно этот раздел, там было где-то удаление NewDotNet, в принципе он почти безвредный можете и оставить на память.
********************************************************

Опять по теме, ещё пожелание - отложенное удаление - "списком", а то неохота из-за того чтобы хлопнуть 2-ру файлов KillBox заставлять людей ещё качать.

А куда можно положить архивчик с очень подозрительным файлом, чтоб его посмотрели?

[QUOTE=Arkadiy]А куда можно положить архивчик с очень подозрительным файлом, чтоб его посмотрели?[/QUOTE]

Правила: [url]http://virusinfo.info/showthread.php?t=1235[/url]

П.п. "...8. Полученный архив нужно выслать на [email][email protected][/email] В письме обязательно указать ссылку на тему (линк!) с просьбой о помощи. Письма без ссылки могут остаться без ответа, т.к. у нас нет времени ходить по всем темам и искать из какой именно темы файлы...."

[QUOTE=Arkadiy]А куда можно положить архивчик с очень подозрительным файлом, чтоб его посмотрели?[/QUOTE]
по присланному файлу могу сказать следующее:

Отечественный недетектируемый сервер backdoor-программы "RAT X Control".
Использует файл xflash.exe.
Лезет в LSA и ворует кэшированные пароли на DialUp.
Собирает информацию из файлов ICQ, Miranda, Trillian, AIM, а также пароли на почту и FTP.
Может использовать плагины с именами xc_*.dll
Сливает информацию об адресе пользователя и открытом порте через скрипт hxxp://xcuser.info/add.php

еще мне интересно - откуда у жителя Германии мог завестись российский бакдор? напишите (по почте или через ПМ) где именно Вы его подцепили.

[QUOTE=MOCT]Отечественный [B]недетектируемый[/B] сервер backdoor-программы "RAT X Control".[/QUOTE]
А что сделать, что бы эта программа стала детектируемой? Может имеет смысл послать образец АВ-вендорам?

[QUOTE=Палыч]А что сделать, что бы эта программа стала детектируемой? Может имеет смысл послать образец АВ-вендорам?[/QUOTE]
я думаю, что представители вендоров и без этого подписаны на рассылку. а слово "недетектируемый" правильно было выделено - кто-то за этот файл заплатил деньги, чтобы получить недетектируемую версию... вот мне и интересно - кому настолько понадобился dialup в Германии? :P

[QUOTE=MOCT]я думаю, что представители вендоров и без этого подписаны на рассылку. а слово "недетектируемый" правильно было выделено - кто-то за этот файл заплатил деньги, чтобы получить недетектируемую версию... вот мне и интересно - кому настолько понадобился dialup в Германии? :P[/QUOTE]
Я вчера отправил этого зверя в ЛК - сегодня пришел ответ: Backdoor.Win32.Yurist.k -теперь он "детектируемый" :)
Самое смешное в том, что зверь этот передает пароли открытым текстом, да еще на русском :)

[QUOTE=Зайцев Олег]Я вчера отправил этого зверя в ЛК - сегодня пришел ответ: Backdoor.Win32.Yurist.k -теперь он "детектируемый" :)
Самое смешное в том, что зверь этот передает пароли открытым текстом, да еще на русском :)[/QUOTE]
опять ЛК клинит - предыдущие версии как только не называются:
Backdoor.Win32.Agent.cl, Backdoor.Win32.Agent.he, Backdoor.Win32.Small.da, Backdoor.Win32.Yurist.b, Backdoor.Win32.Yurist.g и т.д.
Поэтому придерживаться такой "классификации" в AVZ не рекомендую.

Здесь, в теме [URL=http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0148&start=740#lt]Лучший антивирус [/URL] уже несколько дней идет спор о AVZ...

[QUOTE=DimaT]Здесь, в теме [URL=http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0148&start=740#lt]Лучший антивирус [/URL] уже несколько дней идет спор о AVZ...[/QUOTE]
Угу, прорят потому что
1. Неправильно выбрано название
2. Не понимают вообще о чём спорят :)

[QUOTE=Geser]Угу, прорят потому что
1. Неправильно выбрано название
2. Не понимают вообще о чём спорят :)[/QUOTE]
Скорее втрое :) Т.е. они не понимают, что попало им в руки - но спорят активно :)
А название правильное - я не собраюсь останавливаться на троянах/SpyWare, название дано "на вырост"

[QUOTE=Зайцев Олег]Скорее втрое :) Т.е. они не понимают, что попало им в руки - но спорят активно :)
А название правильное - я не собраюсь останавливаться на троянах/SpyWare, название дано "на вырост"[/QUOTE]
Привел там твой ответ...
Страсти не утихают... :)
Но это своеобразная реклама...

Надо было им дать ссылочку на раздел "Помогите" :) Это бы дало спорщикам некоторое представление о том, что творится на компьютерах у пользователей и для чего применяется AVZ и HijackThis

Кстати, [B]Олег[/B], в гридах смотрю цвета при выделении ячейки уже поменяли, правда все же пока не все. Например, в диспетчере процессовв поле "Процессы" в выбраной строке тяжело прочитать данные (если цвет шрифта зеленый).


[B]DimaT[/B], а как все начиналось... С вопроса у кого какое мнение по работе программы, в ветке по [B]AVZ[/B] на том же руборде :)

Даже если АВЗ будет лечить вирусы, всёравно я считаю называть его антивирусом неправильно, потому как это ставит его в один ряд с полноценными антивирусами, с которыми он никогда не сможет конкурировать по полноте баз.

[QUOTE=Geser]Даже если АВЗ будет лечить вирусы, всёравно я считаю называть его антивирусом неправильно, потому как это ставит его в один ряд с полноценными антивирусами, с которыми он никогда не сможет конкурировать по полноте баз.[/QUOTE]
Логично ... но давая название "Антивирусная [U]утилита[/U]" я полагал, что это будет восприниматься как "Утилита в дополнение к антивирусу". Т.е. утилита, а не антивирус ... а большинство народа проглатывает слово "утилита" в названии.
Можно конечно назвать "AVZ Antimalware Toolkit", к примеру.

[QUOTE=Зайцев Олег]Можно конечно назвать "AVZ Antimalware Toolkit", к примеру.[/QUOTE]
А в справке неписать что это утилита для исследования системы и удаления распространённых вредоносных программ рекомендуемая к использованию опытными пользователями.

[QUOTE=DimaT]Привел там твой ответ...
Страсти не утихают... :)[/QUOTE]
Storm in a teacup :P
А в итоге каждый останется при своём :)
Но "победит" самый "горластый".

[QUOTE=Geser]Даже если АВЗ будет лечить вирусы, всёравно я считаю называть его антивирусом неправильно, потому как это ставит его в один ряд с полноценными антивирусами, с которыми он никогда не сможет конкурировать по полноте баз.[/QUOTE]
конкурировать? не проблема! главное убрать из рассмотрения DOS-вирусы и макро, а остальных (Win9x/32) вирусов на самом деле не так уж и много :P

[QUOTE=RiC]Storm in a teacup :P
А в итоге каждый останется при своём :)
Но "победит" самый "горластый".[/QUOTE] Ничего, акция все-равно полезная... :P
[B]abz [/B]- знаменитый спорщик...
Зато многие узнали о AVZ...
[QUOTE]DimaT, а как все начиналось... С вопроса у кого какое мнение по работе программы[/QUOTE] Да, я поднял там эту тему [URL="http://www.forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0148&start=720"]http://www.forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0148&start=720[/URL] 21-10-2005: [QUOTE]Почему-то здесь за ''бортом обсуждений'' [B]оказался быстро прогрессирующий еще один отечественный антивирусник [/B]AVZ.
У автора (Зайцева Олега) много трудолюбия и большие планы.
Топик о AVZ на нашем форуме здесь.
Хотелось бы услышать комментарии-оценки спецов.[/QUOTE] Каюсь...:D
Но не жалею... Если [B]Олег [/B] и Вы не осуждаете...

[quote=DimaT]Ничего, акция все-равно полезная... :P
[B]abz [/B]- знаменитый спорщик...
Зато многие узнали о AVZ...
Да, я поднял там эту тему [URL="http://www.forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0148&start=720"]http://www.forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0148&start=720[/URL] 21-10-2005: Каюсь...:D
Но не жалею... Если [B]Олег [/B]и Вы не осуждаете...[/quote]
Пускай народ пошумит и поспорит - это полезно :)
Я сделал новую тему -
[URL="http://virusinfo.info/showthread.php?p=58078#post58078"]http://virusinfo.info/showthread.php?p=58078#post58078[/URL] - в нее я предлагаю выносить только предложения и замечания, я затем буду подчищать эту тему, собирая все в единый список - иначе информация растворяется в ходе обсуждений.

[QUOTE=Зайцев Олег]Пускай народ пошумит и поспорит - это полезно :)
[/QUOTE] Я тоже так считаю.
Тем более, дополнительная инфа, пожелания и конструктивная критика всегда полезны...:D

Невозможно выбрать каталог не выбрав хотябы один подкаталог.
Т.е. я выбираю для сканирования каталог С:\Abc\ в нем есть подкаталоги Bcd и Cdf с кучей файлов. Каталоги Bcd и Cdf я сканировать не хочу. Снимаю выделение с одного из них - все нормально. Но как только я снимаю выделение со второго - пропадает выделение с каталога Abc. Как-то нелогично :)

ЗЫ. На всякий случай, структура каталогов такая:
C:\Abc\
C:\Abc\Bcd\
C:\Abc\Cdf\

[QUOTE=Arush]Невозможно выбрать каталог не выбрав хотябы один подкаталог.
Т.е. я выбираю для сканирования каталог С:\Abc\ в нем есть подкаталоги Bcd и Cdf с кучей файлов. Каталоги Bcd и Cdf я сканировать не хочу. Снимаю выделение с одного из них - все нормально. Но как только я снимаю выделение со второго - пропадает выделение с каталога Abc. Как-то нелогично :)

ЗЫ. На всякий случай, структура каталогов такая:
C:\Abc\
C:\Abc\Bcd\
C:\Abc\Cdf\[/QUOTE]
Да, есть такой моментик ... это актуально, если
C:\Abc\
C:\Abc\файл1.exe
C:\Abc\файл2.exe
C:\Abc\Bcd\
C:\Abc\Cdf\
файл1 и файл2 сканируются только при выборе всего ABC, и нельзя просканировать эти файлы, не сканируя при этом Bcd и Cdf.
Я подумаю над логикой работы древовидного списка в таком случае.

Олег, ты писал, что обмениваешься зверями с ЛК, ВБА и еще с кем-то. Это действительно обмен, т.е. они присылают тебе полученных ими по своим каналам зверей ?

[QUOTE=userr]Олег, ты писал, что обмениваешься зверями с ЛК, ВБА и еще с кем-то. Это действительно обмен, т.е. они присылают тебе полученных ими по своим каналам зверей ?[/QUOTE]
IMHO, игра идет в одни ворота

[QUOTE=MOCT]IMHO, игра идет в одни ворота[/QUOTE]
Не совсем. С ВБА мы периодически меняемся достаточно быльшими партиями зверей, не считая малочей типа того, что я периодически гоняю ВБА по базе по базе безопасных ... С Stop! и UNA идет обмен ITW - по принципу, но без подсчета "скальпов". С ЛК обмен односторонний - но тут у меня шкурный интерес, т.к. серверные продукты ЛК стоят на периметре сети, в частности на почтаре, через которого идет корпоративный трафик

Запускал АВЗ на компе. Нашел он пару файлов, зараженным Hidrag. Полечил вроде. Сейчас зацепил этот винт на свой комп и прогнал Каспером. Ну, что там больше намного Hidrag'ов, это ничего. А первый файл, зараженный им, называется avz.exe. :)

[QUOTE=anton_dr]Запускал АВЗ на компе. Нашел он пару файлов, зараженным Hidrag. Полечил вроде. Сейчас зацепил этот винт на свой комп и прогнал Каспером. Ну, что там больше намного Hidrag'ов, это ничего. А первый файл, зараженный им, называется avz.exe. :)[/QUOTE]
Естественно :) AVZ ловит только его тело, и сам естественно становится жертвой заражения. В новой версии на этот случай будет контроль целостности кода - дабы ловить Hidrag-ов на живца :)

А каспер файлы полечит, или как? И вообще, он лечится? Hidrag в смысле.

Hidrag лечится Каспером. Нормально.

А когда выйдет новая версия? AVZ уже ругается... :)

[QUOTE=DenZ]А когда выйдет новая версия? AVZ уже ругается... :)[/QUOTE]
Только что вышла новая версия 4.00.
Для нее я завоже отдельную ветку ...