[QUOTE=Зайцев Олег;96350]К концу месяца выходит новая версия AVZ, вот список доработок для обсуждения, не забыл ли я чего):
...
[/QUOTE]
15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".
Printable View
[QUOTE=Зайцев Олег;96350]К концу месяца выходит новая версия AVZ, вот список доработок для обсуждения, не забыл ли я чего):
...
[/QUOTE]
15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".
Олег! В качестве обсуждения. Нельзя ли поменять местами протоколы исследования системы и часть сканирования и лечения от AVZ.
Чтобы не начинать читать протокол с конца и не пытаться удалять то, что уже вылечил AVZ.
[QUOTE=aintrust;96363]15. Столбцы "Описание" и "Производитель" для "Модулей пространства ядра".[/QUOTE]
Принято и сделано.
[B]to PavelA[/B]
Если процесс, DLL или что-то подобное видны в исследовании AVZ, то оно однозначно не удалено (как максимум - файл заряжен на отложенное удаление).
1. Не плохо добавить в скрипты функцию которая убивает процесс по имени, с выводом в лог результата. Т.е. попытка убиения, пауза в секунду, проверка что процесс убит.
2. Нужна функция которая ищет в реестре файл по имени (именно по имени, без пути) и выводит все ключи где найдена встречается этот файл.
P.S. Кстати, исправлена ли бага из за которой в списке драйверов и модулей пространства ядра вместо реального пути к системной директории написано "systemroot"?
[QUOTE=Geser;96368]1. Не плохо добавить в скрипты функцию которая убивает процесс по имени, с выводом в лог результата. Т.е. попытка убиения, пауза в секунду, проверка что процесс убит.
2. Нужна функция которая ищет в реестре файл по имени (именно по имени, без пути) и выводит все ключи где найдена встречается этот файл.
P.S. Кстати, исправлена ли бага из за которой в списке драйверов и модулей пространства ядра вместо реального пути к системной директории написано "systemroot"?[/QUOTE]
1,2 - принимается. PS - это не баг, это фича - имена объектов отображаются так, как они значатся в реестре или возвращаются системой. Если не удобно, заменю на нормализованные полные имена.
Как минимум в скрипт должны уходить нормализованные имена.
[QUOTE=pig;96385]Как минимум в скрипт должны уходить нормализованные имена.[/QUOTE]
Логично, так и сделаю.
[quote=Зайцев Олег;96347]1. В какой точно момент выводится данное сообщение (открытие Bat, прием почты, отправка почты, сохранение вложений) ? Повторяется ли данная ситуация ?[/quote]
[quote] 18.02.2007, 19:31:12: FETCH - Получение новой почты
18.02.2007, 19:31:12: FETCH - Соединение с POP3 сервером прошло удачно
18.02.2007, 19:31:12: FETCH - Аутентификация прошла успешно (Обычный метод)
18.02.2007, 19:31:13: FETCH - На сервере писем: 2, из них новых: 2
18.02.2007, 19:31:16: FETCH - Получено письмо от ([COLOR="Gray"]убрано[/COLOR]), размер: 2547 байт, тема: ([COLOR="Gray"]убрано[/COLOR])
18.02.2007, 19:31:16: ANTIVIRUS - Проверка входящего письма на наличие вирусов
!18.02.2007, 19:31:16: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
18.02.2007, 19:31:17: FETCH - Получено письмо от ([COLOR="Gray"]убрано[/COLOR]), размер: 12176 байт, тема: ([COLOR="Gray"]убрано[/COLOR])
18.02.2007, 19:31:21: FETCH - Получено письмо от ([COLOR="Gray"]убрано[/COLOR]) для ([COLOR="Gray"]убрано[/COLOR]), зашифрованное: Нет, размер: 2547, дата: 18 февраля 2007 г. 10:34:05, тема: ([COLOR="Gray"]убрано[/COLOR])
18.02.2007, 19:31:21: ANTIVIRUS - Проверка входящего письма на наличие вирусов
!18.02.2007, 19:31:21: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
18.02.2007, 19:31:22: FETCH - Получено письмо от ([COLOR="Gray"]убрано[/COLOR]) для ([COLOR="Gray"]убрано[/COLOR]), зашифрованное: Нет, размер: 12176, дата: 18 февраля 2007 г. 16:25:27, тема: ([COLOR="Gray"]убрано[/COLOR])
18.02.2007, 19:31:22: FETCH - Удалено писем с сервера: 2
18.02.2007, 19:31:22: FETCH - Соединение завершено - получено писем: 2[/quote]
Повторяется нерегулярно...
[quote=Зайцев Олег;96347]2. Точная версия TheBat![/quote] 3.95.06
[quote=Зайцев Олег;96347]3. Настройки AV проверки самого Bat (можно скриншот странички настроек)[/quote]Прилагается...
[quote=Зайцев Олег;96347]4. Какова настройка ящика в плане хранения вложений ? (в базе или отдельно)[/quote]Вложений в полученных файлах (см. лог выше) нет, но в настройках ящика указано - хранить отдельно.
Настройки самого плагина - "Вести лог" и "Папка Base в папке с плагином" (там он и живёт) :)
Олег, в протоколе исследования системы есть проблема при добавлении команд в скрипт относительно файлов, запуск которых указан с параметрами. Приведу пример из протокола исследования системы из одной из тем в разделе Помогите.
Автозапуск
Графа "Имя файла"
C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
"J:\муж\DAEMON Tools\daemon.exe" -lang 1033
Теперь при нажатии на "Карантин" или "Удалить" в скрипт добавляются команды, содержащие ошибку.
Т.е. при нажатии на "Карантин" в этом случае добавляется :
QuarantineFile('C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup','');
QuarantineFile('J:\муж\DAEMON Tools\daemon.exe -lang 1033','');
Я правильно понимаю, что в карантин они не попадут при выполнении скрипта ?
Видимо для исследования системы в графе "Имя файла" AVZ нужно заносить только путь к файлу, а параметры его запуска игнорировать.
[quote=Nick222;96419]Повторяется нерегулярно...
3.95.06
Вложений в полученных файлах (см. лог выше) нет, но в настройках ящика указано - хранить отдельно.
Настройки самого плагина - "Вести лог" и "Папка Base в папке с плагином" (там он и живёт) :)[/quote]
Спасибо, картинка помогла ... я выставил все переключатели согласно картинке и получил это сообщение. Если в настройке TheBat выставить три "птички" внизу окна натройки - появляется этот глюк, если их снять - работает нормально. Мой совет - отключить три "птички" в настройке Bat (т.е. привести настройки к виду, как на картинке из хелпа) - тогда глюк пропадает. А я тем временем разберусь, в чем там дело.
[quote=kps;96455]
Я правильно понимаю, что в карантин они не попадут при выполнении скрипта ?
Видимо для исследования системы в графе "Имя файла" AVZ нужно заносить только путь к файлу, а параметры его запуска игнорировать.[/quote]
Вероятность попадания в карантин есть - функция карантина пытается отбросить все лишнее. Но тут есть тонкость - предполагается, что добавление команд в скрипт добавляет заготовку, т.е. ее стоит вручную поправить, оставив только имя файла. Это существенно упростит работу AVZ. Плюс в новой версии новый анализатор в карантине - у него намного выше шансы на поиск файла в сложном случае.
У меня сегодня не удалось обновить AVZ, так как файл avzlang_en(или как то так) был битый, извиняюсь забыл сделать скриншот.
При повторной попытке обновиться, произошла такая ошибка:
[URL=http://imageshack.us][IMG]http://img216.imageshack.us/img216/4814/errorgc0.gif[/IMG][/URL]
Версия 4.23, обновлялся с z-oleg.com
P.S.: после закрытия программы и повторного запуска обновления АВЗ удалось :)
[QUOTE=Arkadiy;96550]У меня сегодня не удалось обновить AVZ, так как файл avzlang_en(или как то так) был битый, извиняюсь забыл сделать скриншот.
При повторной попытке обновиться, произошла такая ошибка:
[URL=http://imageshack.us][IMG]http://img216.imageshack.us/img216/4814/errorgc0.gif[/IMG][/URL]
Версия 4.23, обновлялся с z-oleg.com
P.S.: после закрытия программы и повторного запуска обновления АВЗ удалось :)[/QUOTE]
Скорее всего я в этот момент обновлял базы на сервере :)
Олег, поступила просьба от ЛК поменять пароль на файлах из карантина с virus на infected
[QUOTE=Geser;96574]Олег, поступила просьба от ЛК поменять пароль на файлах из карантина с virus на infected[/QUOTE]
А какая разница ? Ну, раз просят - поменяю, это тривиально
Пароль на какие файлы? Если на отсылаемые на проверку - то не стОит - у всех серверов требование ставить пароль "virus".
Если это другой пароль - прошу извинить :)
[B]Олег![/B] Что-то в Download на z-oleg.com AVZ лежит обрезанный без скриптовой директории и драйверов.
[QUOTE=PavelA;96587][B]Олег![/B] Что-то в Download на z-oleg.com AVZ лежит обрезанный без скриптовой директории и драйверов.[/QUOTE]
Все верно - драйвера давно в AV базе (о соответственно обновляются по мере надобности автоматом), все скрипты - аналогично.
[QUOTE=Зайцев Олег;96589]Все верно - драйвера давно в AV базе (о соответственно обновляются по мере надобности автоматом), все скрипты - аналогично.[/QUOTE]
А как же тогда с директорией [B]Script[/B]? Она же не создается.
Может я что-то не понимаю. Пытался по-старому объяснить своему клиенту, а тут такой облом (:
[QUOTE=PavelA;96591]А как же тогда с директорией [B]Script[/B]? Она же не создается.
Может я что-то не понимаю. Пытался по-старому объяснить своему клиенту, а тут такой облом (:[/QUOTE]
А собственно зачем директория Scripts ? Все скрипты из нее перекочевали в меню "Файл/Стандартные скрипты" AVZ.
[QUOTE=Nick222;96584]Пароль на какие файлы? Если на отсылаемые на проверку - то не стОит - у всех серверов требование ставить пароль "virus".
Если это другой пароль - прошу извинить :)[/QUOTE]
У каких серверов?
[QUOTE=Зайцев Олег;96580]А какая разница ? Ну, раз просят - поменяю, это тривиально[/QUOTE]
А, можно не менять. Я неправильно понял. Жаловались что РАРы присылают
[QUOTE=Geser;96574]Олег, поступила просьба от ЛК поменять пароль на файлах из карантина с virus на infected[/QUOTE]
Это правильно. Многие вендоры работают только с этим паролем "infected".
Вопрос к Олегу, вы подписчик сервиса [email][email protected][/email]? Или пока добавлять [email][email protected][/email] в поле "Копия"?
[quote=Geser;96597]У каких серверов?[/quote]
Я имел ввиду - когда шлёшь образец вируса, то ДрВэб, КламВин, Аваст и проч. требуют пароля на архив "virus".
[QUOTE=SuperBrat;96600]Это правильно. Многие вендоры работают только с этим паролем "infected".
Вопрос к Олегу, вы подписчик сервиса [email][email protected][/email]? Или пока добавлять [email][email protected][/email] в поле "Копия"?[/QUOTE]
Нет - я не являюсь подписчиком данной системы (я собственно не видел, где у них можно подписаться).
[B]to Nick222[/B]
Не обязательно - я в ЛК шлю вообще без пароля ...
[QUOTE=Nick222;96602]Я имел ввиду - когда шлёшь образец вируса, то ДрВэб, КламВин, Аваст и проч. требуют пароля на архив "virus".[/QUOTE]
Nick222, вышеперечисленные товарищи прекрасно понимают "infected". Возможно, вы отправляли в rar-архиве? Тогда многие начинают предупредительные письма отсылать.
[quote=SuperBrat;96604]Возможно вы отправляли в rar-архиве?[/quote]
Я WinRAR не пользуюсь и он у меня даже не стоит - особенно после того, как лечил у соседей комп с заражёнными RAR-ами - все стали вдруг по 15 Мб :)
[QUOTE=Nick222;96606]Я WinRAR не пользуюсь и он у меня даже не стоит - особенно после того, как лечил у соседей комп с заражёнными RAR-ами - все стали вдруг по 15 Мб :)[/QUOTE]
Не вижу связи. Зараженных zip-архивов куда больше.
[quote=SuperBrat;96608]Зараженных zip-архивов куда больше.[/quote]
Я ни разу не видел ZIP-ов, у которых размер файлов в архиве около 100 Кб, а размер архива в целом 15 Мб :) Да ещё и вынуть толком ничего из архива нельзя - хотя список файлов виден...
ИМХО, баг RAR, которым и воспользовался вирус.
[url]http://support.drweb.com/sendnew/[/url]
[quote]Отправляя вирусный файл в нашу лабораторию по электронной почте, не забудьте заархивировать его и, по возможности, защитить архив паролем — по умолчанию нами используется пароль [B]virus[/B]. Если Вы используете этот пароль для защиты посылаемого нам архива, его можно не указывать в теле письма. Использование другого пароля допустимо, однако такое письмо может быть перехвачено антивирусным фильтром и не дойти до своего получателя. В случае использования отличного от [B]virus[/B] пароля сообщите его, пожалуйста, специалистам лаборатории.[/quote]
Я им нормально отправлял RAR, только в письме указывал, какой версией запаковано.
В ЛК точно так же отправлял в RAR, только пароль в письме указывал, поскольку на сайте это не регламентировано. А по умолчанию, стало быть, [B]infected[/B]?
[QUOTE=Зайцев Олег;96592]А собственно зачем директория Scripts ? Все скрипты из нее перекочевали в меню "Файл/Стандартные скрипты" AVZ.[/QUOTE]
Там лежали бат-файлы для скриптов. Указываешь имя скрипта в письме клиенту и не заходя в АВЗ получаешь лог-файлы. Теперь придется свои заготовки переписывать.>:(
[QUOTE=PavelA;96615]Там лежали бат-файлы для скриптов. Указываешь имя скрипта в письме клиенту и не заходя в АВЗ получаешь лог-файлы. Теперь придется свои заготовки переписывать.>:([/QUOTE]
Это да ... но сейчас стало проще. Например, лечение + карантин + исследование достигается скриптом в одну команду:
[code]
begin
ExecuteStdScr(3);
end.
[/code]
[QUOTE=Nick222;96602]Я имел ввиду - когда шлёшь образец вируса, то ДрВэб, КламВин, Аваст и проч. требуют пароля на архив "virus".[/QUOTE]
Короче говоря, я введу в скрипты команду настройки пароля, и ключ в командную строку. Это даст возможность менять пароль по мере надобности без переделки AVZ
[QUOTE=Зайцев Олег;96547]Вероятность попадания в карантин есть - функция карантина пытается отбросить все лишнее.[/QUOTE]
Не знаю, какая здесь есть вероятность, но я только что проверил у себя на Win98. Вот подробнее:
Протокол исследования системы
Автозапуск
Графа "Имя файла"
"E:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
При нажатии на "Карантин" для этого файла в скрипт добавляется команда
QuarantineFile('E:\Program Files\Common Files\Real\Update_OB\realsched.exe -osboot','');
Т.е. в пути к файлу дописан параметр его запуска, а это не правильно.
Я выполнил скрипт и файл при таком скрипте в карантин [b]не[/b] попал, как я и предполагал.
Потом я поправил скрипт, убрав параметр запуска файла из функции QuarantineFile. И тогда уже после выполнения исправленного скрипта файл в карантин попал.
[quote] Но тут есть тонкость - предполагается, что добавление команд в скрипт добавляет заготовку, т.е. ее стоит вручную поправить, оставив только имя файла. Это существенно упростит работу AVZ. [/quote]
Это не просто упростит работу AVZ, а исправит ошибку в скрипте, из-за которой файл просто не попадет в карантин, как я только что убедился.
Безусловно, надо проверять скрипт, прежде чем рекомендовать его к использованию, но вдруг есть люди, которые слепо поверят в то, что добавление команды в скрипт добавит правильную команду без ошибок и/или доверяться функции "Проверить скрипт", которая такую ошибку не находит, а пишет, что скрипт в порядке. Можешь проверить сам.
В итоге имеем ситуацию, что в карантин нужный файл не попадет.
Я считаю, что этот баг с добавлением параметров запуска стоит пофиксить или как минимум, сообщить всем хелперам о его существовании, чтобы не могло произойти такой проблемы.
Олег, есть фичреквест по восстановлению системы. Возможно, стоит добавить процедуру, описанную здесь - [url]http://forum.kaspersky.com/index.php?showtopic=32552[/url] ?
Есть прога "File Lock v4.2.11", она для закрытия доступа к файлам, папкам, дискам.
Но почему-то AVZ не показывает ее часть (в памяти), которая отвечает за закрытие доступа и ее способ автозапуска.
Двое суток назад я посылал файл с червём - АВЗ до сих пор его не детектирует.
Говорит "Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)" и всё...
Завтра будет определяться точно?
С праздником :)
[B]Nick222[/B]
Мои ложняки уже полгода как ложняки и ничего :D
Уж незнаю почему даже :)
Олег, посмотри тут [url]http://virusinfo.info/showthread.php?t=8135[/url] сообщение 22 еще способ подгружеть библиотеки в браузер. Нужно тоже в логи
[QUOTE=Geser;97240]Олег, посмотри тут [url]http://virusinfo.info/showthread.php?t=8135[/url] сообщение 22 еще способ подгружеть библиотеки в браузер. Нужно тоже в логи[/QUOTE]
Это последствия, причина - патч самого IExplore.exe. Это уже не певый случай.