AVZ 4.30

[B]Вышла новая версия антивирусной утилиты AVZ - 4.30[/B]. Архив с утилитой содержит базу вирусов от 6.04.2008 157571 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, 370 микропрограмм эвристики, 9 микропрограмм ИПУ, 115 микропрограмм поиска и устранения проблем, 70476 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований.
[B]Основные модификации:
[/B][+++] Добавлена дополнительная функция в эвристической чистке системы - помимо стандартной чистки добавлен вызов микропрограмм из обновляемой базы, что позволит автоматически удалять следы вредоносных программ в сложных и нестандартных случаях, а также исправлять критические повреждения системы
[++] Антируткит - поиск перехватов IRP в основных драйверах
[++] Добавлен ряд новых команд в скрипт-язык
[+] В AVZGuard добавлена блокировка создания файлов autorun.*, что упрощает борьбу с рядом типов червей
[+] Добавлен переключатель в настройках, активирующий автоматическое устранение системных проблем и ошибок, найденных на шаге 9 анализа
[+] Автокарантин NTFS потоков и EXE файлов из CHM (выполняется, если включен автокарантин)
[+] Сортировка по любому столбцу в окнах Infected и Quarantine
[+/-] Автоматическая перезагрузка всех AV баз после успешного обновления AVZ (в частности базы локализатора)
[-] Устранены ошибки в работе ревизора
[-] Устранен ряд мелких недочетов в локализации и ряд мелких ошибок
Ссылки: [URL]http://www.z-oleg.com/secur/avz/download.php[/URL], зеркало на rapidshare [URL="http://rapidshare.com/files/105329630/avz4.zip"][COLOR=#0000ff]http://rapidshare.com/files/105329630/avz4.zip[/COLOR][/URL]

Параллельно обновился плагин для TheBat - зеркало [URL="http://rapidshare.com/files/105329833/avz4thebat.zip"][COLOR=#0000ff]http://rapidshare.com/files/105329833/avz4thebat.zip[/COLOR][/URL] и редактор скриптов - зеркало [URL="http://rapidshare.com/files/105329752/avz_se.zip"][COLOR=#0000ff]http://rapidshare.com/files/105329752/avz_se.zip[/COLOR][/URL]
Вот еще одна ссылочка - [url]http://www.z-oleg.com/avz.chm[/url] - документация в CHM формате
ED2K ссылки:
[URL="ed2k://|file|avz4.zip|3639856|A18BA1D5C6B22F651C7B64D69E3A779B|h=VAPCXRPKCFWBPTD2CKUZXYTSFYFBRMJT|/"]ed2k://|file|avz4.zip|3639856|A18BA1D5C6B22F651C7B64D69E3A779B|h=VAPCXRPKCFWBPTD2CKUZXYTSFYFBRMJT|/[/URL]
[URL="ed2k://|file|avz4thebat.zip|386611|155A043718709B0A914E535FE60AE66D|h=R2W7JLALGFKI7N5OPHM3SWZURLYXHZIX|/"]ed2k://|file|avz4thebat.zip|386611|155A043718709B0A914E535FE60AE66D|h=R2W7JLALGFKI7N5OPHM3SWZURLYXHZIX|/[/URL]

Редактор скриптов - а ссылка на плагин для Бата?!?

Я исправил ссылку ... кроме того, ссылки на зеркала дублированы на страничке загрузки у меня на сайте.

[QUOTE=Зайцев Олег;211746]
[-] Устранены ошибки в работе ревизора
[/QUOTE]

Как рас во время!

По ссылке плагин для Бата скачался от 12 декабря - старый...

Кстати, почему Вы не сделаете трекер с тремя торрентами по числу файлов?
Я думаю, это резко снизит нагрузку на главный сервер в момент выхода новых версий...

OpenOffice.org в России так уже делает.

[quote=Nick222;211763]По ссылке плагин для Бата скачался от 12 декабря - старый...

Кстати, почему Вы не сделаете трекер с тремя торрентами по числу файлов?
Я думаю, это резко снизит нагрузку на главный сервер в момент выхода новых версий...

OpenOffice.org в России так уже делает.[/quote]
Можно попробовать - например
[CODE]
ed2k://|file|avz4.zip|3639856|A18BA1D5C6B22F651C7B64D69E3A779B|h=VAPCXRPKCFWBPTD2CKUZXYTSFYFBRMJT|/
[/CODE]

Спасибо :)

Так плагин для Бата есть новый - или остался старый?
Я уже три раза пробовал скачать - всё равно от 12 декабря версия...

На Рапиде то же самое.

Пробую осла...

Может сделать зеркало на VirusInfo?

[quote=Nick222;211802]На Рапиде то же самое.

Пробую осла...[/quote]
Я положил ослиные ссылки на avz4.zip и на avz4thebat.zip на страничке [URL]http://www.z-oleg.com/secur/avz/download.php[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=Maxim;211805]Может сделать зеркало на VirusInfo?[/quote]
И положим VI на лопатки ... не стоит, так как сюда обращаются пострадавшие пользователи, поэтому тормоза форума совершенно не нужны. зеркал ED2K и rapidshare вполне достаточно ...

Наконец скачал :)
Просто на Рапиде сама ссылка была не на ту страницу...

В следующий раз очень советую заранее сделать торрент - либо уговорить администрацию ТоррентсРу дать разрешение на размещение (они не дают выкладывать бесплатные программы). :)

[quote=Nick222;211817]уговорить администрацию ТоррентсРу дать разрешение на размещение (они не дают выкладывать бесплатные программы). :)[/quote]
А разве на ТоррентсРу свет клином сошёлся?

Немного потестил на XP SP2, полет нормальный.
Такое замечание - в свойствах Avz.exe (версия сегодняшняя 4.30) стоит
Версия продукта "4.28".
Версия файла "4.28.0.66".

Поднять трекер на z-oleg- проще пареной репы, а нагрузку на сайт можно уменьшить очень солидно.

[quote=rav;212131]Поднять трекер на z-oleg- проще пареной репы, а нагрузку на сайт можно уменьшить очень солидно.[/quote]
На нагрузку это не повлияет.Наример, даны ссылки на ED2K - скачало около 20 человек. Зеркала на рапидшаре - с 16.00 вчерашнего дня около тысячи закачек. Т.е. это к сумме менее 1% об общего объема загрузок

[QUOTE=Зайцев Олег;211810]И положим VI на лопатки ... не стоит, так как сюда обращаются пострадавшие пользователи, поэтому тормоза форума совершенно не нужны. зеркал ED2K и rapidshare вполне достаточно ...[/QUOTE]

Ну так хотя бы с VI будут качать с нашего сервера. Всё твоему легче.

[quote=Зайцев Олег;212136]На нагрузку это не повлияет[/quote]

Если Вы поднимете трекер и сделаете конкретный торрент как "суперсид", то люди будут качать 90% объёмов друг у друга, а не у Вас...

[quote=Nick222;212250]Если Вы поднимете трекер и сделаете конкретный торрент как "суперсид", то люди будут качать 90% объёмов друг у друга, а не у Вас...[/quote]
Люди не хотят качать что-то из P2P !! Большинство даже зеркала игнорирует - тащут по прямой ссылке файла и всего делов ...

Конечно легче тыкнуть на прямую ссылку чем заморачиваться со всем остальным. Хотя я бы на месте Олега напрямую не отдавал, а только через скриптик который рекламу крутит :)

Можно раскидать дист. на 20 серваков с бесплатного хостинга, и давать ссылку на скрипт, который рандомно редиректит на файл. Можно даже адрес сервера скрыть.

[QUOTE=Geser;212288]Конечно легче тыкнуть на прямую ссылку чем заморачиваться со всем остальным. Хотя я бы на месте Олега напрямую не отдавал, а только через скриптик который рекламу крутит :)[/QUOTE]Ага, ещё и в AVZ встроить рекламный модуль.

Я что то не понял, здесь обсуждение как скачать, или как работает новая версия?

[QUOTE=Зайцев Олег;212257]Люди не хотят качать что-то из P2P !! Большинство даже зеркала игнорирует - тащут по прямой ссылке файла и всего делов ...[/QUOTE]

Мне вот лень емула запускать, так как уже давно торрент основной клиент :( да и не надо это всё... ведь как происходит - скачал версию, кинул на СД и флэшку... а на месте так бывает, что забыл это всё где нибудь, зато инет есть - вот и идёшь на z-oleg за программой...

кстати, новый антируткит хочется потестить...

Странный лог...
Куча перехватов вида "\FileSystem\ntfs[IRP_MJ_CREATE] = 89DC84D0 -> перехватчик не определен"
и все не определены.

[quote=Mad Scientist;212837]Странный лог...
Куча перехватов вида "\FileSystem\ntfs[IRP_MJ_CREATE] = 89DC84D0 -> перехватчик не определен"
и все не определены.[/quote]
Это эмулятор CD безобразничает, он в логе чуть выше. Хотя вот этот перехваты странные: \driver\disk[IRP_MJ_READ] = 89DC8788, такое в логах пока не попадалось

Ога!
Перехваты disk.sys - это от буткита :). Советую проверить свежайшим CureIt! ;)

[quote=vaber;212859]Ога!
Перехваты disk.sys - это от буткита :). Советую проверить свежайшим CureIt! ;)[/quote]
Да - я тоже заинтересовался этими перехватами, похоже действительно последняя версия буткита (старая только два IRP перехватывала - он прогрессирует однако). У меня CD-эмулятор хукнул только IRP в NTFS ...

Вот интересно, а сколько реально ПК в мире им заражено? Что-то мне подсказывает - что не мало.

Это дохтар вэб шалит вроде, с ирп и нтфс.

[quote=vaber;212873]Вот интересно, а сколько реально ПК в мире им заражено? Что-то мне подсказывает - что не мало.[/quote]
Очень может быть - я сейчас свежий семпл стал искать, нашел 15 разновидностей этого буткита ... что наводит на соответствующие размышления

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

на свежепойманном бутките картина следующая:
\driver\disk[IRP_MJ_CREATE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = FFA4F896 -> перехватчик не определен
т.е. в отличие от вышеприведенного лога перехватчики размещаются по трем адресам, а не по одному, как в логе поста #24

[quote=Surfer;212881]Это дохтар вэб шалит вроде, с ирп и нтфс.[/quote]
Не шалит.
[quote=Зайцев Олег;212882]Очень может быть - я сейчас свежий семпл стал искать, нашел 15 разновидностей этого буткита ... что наводит на соответствующие размышления

[SIZE=1][COLOR=#666686][B][I]Добавлено через 8 минут[/I][/B][/COLOR][/SIZE]

на свежепойманном бутките картина следующая:
\driver\disk[IRP_MJ_CREATE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = FFA4F87E -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = FFA4A428 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = FFA4F896 -> перехватчик не определен[/quote]

Угу -я вчера три сампла скачал и именно эту картину в лдоге и видел, поэтому сразу сделал вывод о нем :)

fixmbr в консоли восстановления Windows поможет?

А это от чего? Может стоит справку составить?
[QUOTE]
\FileSystem\ntfs[IRP_MJ_CREATE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867DA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867DA1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 862ED500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 862ED500 -> перехватчик не определен
[/QUOTE]

fixmbr должен помочь, но лучше скачать CureIt - он корректно лечит и гарантированно.

Помнится мне, в старых материнских платах была защита MBR - при попытке туда писать биос орал PC-спикером и спрашивал разрешать/запрещать...
Ок, сейчас попробую CureIt, тем более что это домашний компьютер, потом снова запущу AVZ посмотреть и сравнить логи, а после уже fixmbr если не поможет, спс.

[quote=Mad Scientist;212904]Помнится мне, в старых материнских платах была защита MBR - при попытке туда писать биос орал PC-спикером и спрашивал разрешать/запрещать...
Ок, сейчас попробую CureIt, тем более что это домашний компьютер, потом снова запущу AVZ посмотреть и сравнить логи, а после уже fixmbr если не поможет, спс.[/quote]
Попробуйте деинсталлировать эмулятор CD и прогнать еще раз AVZ. будут перехваты IRP обработчиков DISK.sys или нет...а то мало ли все же эмулятор виновен :))
З.Ы. наверное рано я шум поднял по поводу буткита - все же действительно, скорее всего, это драйвер старого даемон тула хуки ставит... :)

[QUOTE=vaber;212897]fixmbr должен помочь, но лучше скачать CureIt - он корректно лечит и гарантированно.[/QUOTE]
fixmbr (с загрузкой с виндового CD) поможет, но только для сектора на активном бутовом HDD.
На всех остальных доступных дисках MBR останется троянской и будет нуждаться в лечении. Т.е. есть прямой смысл не извращаться, а сразу пролечить CureIt.
Не пробовал подсовывать врагу флешки, но думаю, что ему пофигу, что это за диск, запишется и туда.

P.S. Читал, что троян якобы даже восстанавливался после fixmbr, но так и не понял, с какого перепугу и что для этого надо было проделать. Видимо, сменить загрузочный диск, но это точно редкий изврат.

CureIt 4.44.5 ничего не нашел, попробую анинсталлировать Алкоголь120%, повторно запущу AVZ, а так наверно мне в раздел помогите....
-----
Сейчас перепроверил - после запуска CureIt часть перехватов в логах AVZ пропадает до следущей перезагрузки (до этого я думал на WMWare)
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89D7CEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89D7CEB0 -> перехватчик не определен
Проверка завершена

[quote=Alexey P.;212912]fixmbr (с загрузкой с виндового CD) поможет, но только для сектора на активном бутовом HDD.
[/quote]
Угу - но этого достаточно, чтобы тело буткита не загрузилось в память. А mbr на других дисках в теории может вылечить тот антивирус, который стоит в системе.
[quote=Mad Scientist;212929]CureIt 4.44.5 ничего не нашел, попробую анинсталлировать Алкоголь120%, повторно запущу AVZ, а так наверно мне в раздел помогите....[/quote]
Угу, и после деинсталляции эмулятора CD лог AVZ сюда прикрепите.
З.Ы. Все же нужно в правила теперь добавлять обязательную деинсталляцию таких программ.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Mad Scientist
Сделайте лог не запуская CureIt - перезагрузитесь, и после старта системы сделайте проверку AVZ, предварительно удалив даемон тул и алкоголь.

Вот как раз попался перехватчик IRP. И не снялся... А я подумал, что будет...Пошто так? Почему нельзя снять такие перехваты?