AVZ 3.80 - тестирование, обсуждение, предложения по доработке

Вышла новая новая версия AVZ - 3.80. Версия доступна для загрузки тут: [url="http://z-oleg.com/secur/avz-dwn.htm"]http://z-oleg.com/secur/avz-dwn.htm[/url] ([url="http://z-oleg.com/avz3.zip"]http://z-oleg.com/avz3.zip[/url])
Радикальные новшества и пределки:

[++] Внешние скрипты для управления AVZ (для его автоматического запуска на множестве ПК и управления действиями без участия пользователя). Описание языка в справке, подключение скрипта - при помощи ключа Script=<имя файла скрипта>
[++] Новый менеджер - менеджер внедренных DLL. По идее это аналог антикейлоггера, только детализированный.
[++] Новый менеджер - менеджер расширений системы печати. Отображает мониторы печати и провайдеры. Подключен к исследованию системы и автокарантину. Позволяет отключать любое расширение системы печати - несколько новейших видов троянов прописываются как монитор принтера, что делает их практически необнаружимыми для пользователя
[+] Сохранение даты/времени файла при помещении файла в карантин
[+/-] Переделки в области проверки CAB архивов - частично устранен сбой, возникающий на одном из CAB файлов из Office XP.

----
В новой версии существенно расширена базы вирусов - добавлено около 300 новых "зверей" и, что самое существенное, около [b]6000[/b] безопасных файлов - я собрал их с большого кол-ва ПК, в сумме проанализировав около 4 ТБ файлов.
У версии 3.80 в базе 1 нейропрофиль, 55 микропрограмм лечения, 355 микропрограмы эвристики, 5 микропрограмм восстановления настроек системы, 40004 подписей безопасных файлов
----
Примечание:
Описание скриптововго языка - в хелпе или в документации на моем сайте [url="http://z-oleg.com/secur/avz_doc/index.html"]http://z-oleg.com/secur/avz_doc/index.html[/url], раздел "8. Скрипты управления". По воводу скриптового языка - его можно расширять до бесконечности, жду пожелания по командам ...
----
Завтра я сделаю еще одну тему - с полным перечнем всех пожеланий и предложений, которые прозвучали в разделе по 3.75 - чтобы все пожелания собирать единым списком, как предлагал [b]aintrust[/b]

А английская версия опять откладывается?:(


Менеджер расширенний проводника, так и остались чёрные дыры.
Менеджер внедрённых длл вылетает с ошибкой, скриншот ниже.

Кстати, залил новые файлы на ФТП, и что-то там еще валяется глянь.

P.S. Включи проверку потоков NTFS по умолчанию пожалуйста

ПО поводу скриптов. Нужнен для форума скриптик который запускает сканирование всех дисков с копированием в карантин всего подозрительного, после чего создаёт лог исследования системы и архив с содержимым карантина.
В принципе не плохо бы его положить прямо в архив с АВЗ.

Что означает:
"3. Сканирование дисков
C:\Documents and Settings\.......\avz3[1].zip Invalid file - not a PKZip file" ?

Круто
Кроме поиска вредоносных она еще может проводить общую диагностику?
(Жалуется что не нашла библиотеки rsapi32)
Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF

Вот собстно лог.

[QUOTE=Granat]Вот собстно лог.[/QUOTE]

А что, собственно, смущает?
Если какие-то вопросы или субъективно что-то не так, то необходимо выполнить телодвижения, согласно правилам:
[url]http://virusinfo.info/showthread.php?t=1235[/url]
И лог АВЗ - неполный. Необходимо сделать следующее "файл"-> "Исследование системы". Полученные данные сохранить в лог и выложить.

Если строки:
"E:\Back_Linux_2\gas\MyDownload\OOo_1.1.1_russian_LinuxIntel_install.tar Spanning not supported by this Archive type
E:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB/wfcclean.exe Ошибка распаковки
E:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_02.CAB/javabase.cab Ошибка распаковки"" - То эти образцы необходимо Олегу предоставить. (Мэйл в меню "О программе")

Если эти строки:
". Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами"
То сделать тоже самое (отправить для внесения в базу безопасных файлов). Это, вроде, драйвера от Нвидиа?

[QUOTE=Iceman]А что, собственно, смущает?
Если какие-то вопросы или субъективно что-то не так, то необходимо выполнить телодвижения, согласно правилам:
[url]http://virusinfo.info/showthread.php?t=1235[/url]
И лог АВЗ - неполный. Необходимо сделать следующее "файл"-> "Исследование системы". Полученные данные сохранить в лог и выложить.[/QUOTE]
Да ничего не смущает. Сказали типа тестировать, вот и тестирую...А каким нибудь дельным советом я помочь не могу...уж извините.
А по поводу лога исправляюсь...

[QUOTE=Iceman]
Если строки:
"E:\Back_Linux_2\gas\MyDownload\OOo_1.1.1_russian_LinuxIntel_install.tar Spanning not supported by this Archive type

Если эти строки:
". Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
Это, вроде, драйвера от Нвидиа?[/QUOTE]
Ну то, что он архивы tar не понимает это естественно, он же под Виндовс...А второе действительно дрова Нвидии, тоже не парюсь.

[QUOTE=Granat]Да ничего не смущает. Сказали типа тестировать, вот и тестирую...А каким нибудь дельным советом я помочь не могу...уж извините.
А по поводу лога исправляюсь...[/QUOTE]

Да всё нормально! ;-))). Просто чуточку уточнений, что Вы хотите показать в данном случае.

ps: Oleg - Spanning not supported by this Archive type - Походу на ошибку - Scanning

Да, и ещё желательно в лог выводить установленные все опции настройки. Что бы не было разночтений.

файл справки не полностью проиндексирован

[U][B]Несколько проблем с проверкой по базе безопасных в "Исследовании системы":[/B][/U]

1. В "Службах" не опознаются безопасными файлы (хотя они есть в базе):
[B]C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\DrWeb\SpiderNT.exe[/B]
Видимо, AVZ их не находит (см. лог) из-за пробела в пути...

2. Строку: [b]\??\C:\Program Files\DrWeb\spider.sys[/b] AVZ благополучно относит к безопасным в "Модулях пространства ядра", но не понимает в "Драйверах".

3. Строка в "Автозапуске" вида: [b]C:\WINDOWS\system32\dumprep 0 -k[/b] по-прежнему не понята AVZ.

4. В "Драйверах" не опознаются файлы без четкого пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают со значениями в поле "Служба", имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

5. "Черные дыры" в "Модуле расширений проводника".

P.S. Исправление этих багов упростит работу Helper-ам при обнаружении новой заразы...
P.P.S. "Менеджер внедренных DLL" вываливается с ошибкой (Win XP), как и у всех...

[QUOTE=Зайцев Олег]Вышла новая новая версия AVZ - 3.80.
...
[+] Сохранение даты/времени файла при помещении файла в карантин
...
[/QUOTE]
Сохранение даты/времени не работает...

[QUOTE=WakenUp]
Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF[/QUOTE]
да. под Win2000.

[QUOTE=Geser]...и что-то там еще валяется глянь.[/QUOTE]
Да. Это я 1го числа заливал, Олег должен быть в курсе.

Скачал,поставил,открыл.....

пишет:версия 3.75.04 от22.08.05...?????

[QUOTE=Гость]Скачал,поставил,открыл.....

пишет:версия 3.75.04 от22.08.05...?????[/QUOTE]
Скорее всего виноват прокси - файл вязлся из кеша. Именно поэтому год назад я выкладывал апдейты, включая в их имена дату - чтобы бороться с кеширующим прокси.

Версия 3.80.02
[-] Исправлена ошибка при вызове менеджера внедренных DLL
[-] Копирование даты/времени файла при его помещении в карантин. Плюс в описывающий файл INI заносится информация не только о дате карантина, но и о дате/времени файла
[-] Улучшена справка (индексация, немного расширены некоторые разделы)
[+] Включено сканирование NTFS потоков по умолчанию
[+] Доработан анализатор имени файла, отделающий имя от параметров и т.п.

Отлично. Остались только "черные дыры" в менеджере расширений проводника.

[B]Олег[/B]
Насчет менеджера внедренных DLL, проверяются ли эти объекты по базе безопастных?
А то вот например та же MIPro.dll, которую я Вам высылал, в базы безоппастных включена, а в менеджере имеем подозрение на Keylogger или троянкую DLL с вероятностью 98,6%.

[QUOTE=Grey][B]Олег[/B]
Насчет менеджера внедренных DLL, проверяются ли эти объекты по базе безопастных?
А то вот например та же MIPro.dll, которую я Вам высылал, в базы безоппастных включена, а в менеджере имеем подозрение на Keylogger или троянкую DLL с вероятностью 98,6%.[/QUOTE]
Да, там подсветка идет по базе безопасных. Но все файлы отображаются, вместе с анализом нейросети - последний позволяет оценить, насколько DLL похожа на типовой перехватчик. Т.е. в данном случае MIPro.dll должен "гореть зеленым", а 98,6% - это его степень похожести на типовой перехватчик.

[QUOTE=Geser]Отлично. Остались только "черные дыры" в менеджере расширений проводника.[/QUOTE]
Да, я их сегодня постараюсь закрыть. В новом апдейте будет это + скриптик для автопроверки ПК

[QUOTE=Зайцев Олег]Да, я их сегодня постараюсь закрыть. В новом апдейте будет это + скриптик для автопроверки ПК[/QUOTE]
Я подумал, наверное нужен еще бетч который будет запускать АВЗ с этим скриптом, что бы не объяснять как запускать из коммандной строки с ключами. Что-то типа virusinfo.bat :)

P.S. Нужно бы выводить в лог версию Вин, и если лог сделан в защищённом режиме писать об этом тоже

[QUOTE=Зайцев Олег]Да, там подсветка идет по базе безопасных. Но все файлы отображаются, вместе с анализом нейросети - последний позволяет оценить, насколько DLL похожа на типовой перехватчик. Т.е. в данном случае MIPro.dll должен "гореть зеленым", а 98,6% - это его степень похожести на типовой перехватчик.[/QUOTE]
Ну с этим ясно, спасибо.

А теперь обращаюь ща помощью:
на одной машине юзер устанавливал прогу Directory Opus. Потом прога сия была удалена. Но теперь при клике на иконке "Мой компьтер" вываливается диалог "Выбор программы для открытия файла".
Лог менеджера расширений проводника в аттаче.

Да, кстати, только обратил внимание, в заголовоке окна "Менеджер расширений проводника" написано "Менеджер расширений IE".

[QUOTE=Grey]Ну с этим ясно, спасибо.

А теперь обращаюь ща помощью:
на одной машине юзер устанавливал прогу Directory Opus. Потом прога сия была удалена. Но теперь при клике на иконке "Мой компьтер" вываливается диалог "Выбор программы для открытия файла".
Лог менеджера расширений проводника в аттаче.

Да, кстати, только обратил внимание, в заголовоке окна "Менеджер расширений проводника" написано "Менеджер расширений IE".[/QUOTE]
Логично предположить что все расширения отсюда D:\Grey\Trash\Soft\Shell\DirOpus\8.xx\wrtg\ нужно отключить

Отключил все.
Но проблема не решена.
Может конечно еще и перегрузиться нужно ...

[QUOTE=WakenUp]Круто
...
Не запустился поиск внедренных DLL access violation address такой-то модуль AVZ.EXE Read address FFFFFFFF[/QUOTE]
Да, Олег, у меня тоже не работает (Windows XP SP2), Выдает [I]"Access violation... Read of address... "[/I] хотя та "внутренняя" версия, что ты мне присылал, работала без проблем. Странно, однако...

[B]Олег[/B]
Проблема "съедания" памяти при включении "Отчет о чистых объектах" пока осталась (т.к. весь лог пишется в Мемо).
Помню, Вы говорили что временно отказались от кеширования лога в файл для возможности запуска [b]AVZ[/b] под WinPE. Но при загрузке WinPE создается RAM-drive, может на него сразу и писать? Или уж указывать имя лог-файла? Для лога чистых объектов сие не очень то критично, но тем не менее... Кроме того получается что "теоретически" может возникнуть подобная ситуация и при отключенном "Отчет о чистых объектах", в случае когда будет оооочень много зараженных и подозрительных объектов. Понимаю что такое маловероятно, поэтому то и пишу "теоретически"

Менеджер ДЛЛ заработал
Программа класс, объединить бы ее с APS... то и в трее не зря бы висела.
Когда там МакАфи устраняет прорехи не так впечатляет, тысячи сотрудников, бешенные бабки, а здесь на лету.
Догоните и обгоните буржуев.

[U]В версии 3.80.02 по-прежнему осталось несколько проблем с проверкой по базе безопасных:[/U]

1. В "Драйверах" не опознаются файлы без пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.

2. Строка в "Автозапуске" вида: [B]C:\WINDOWS\system32\dumprep 0 -k[/B] не понята AVZ.

Затестил ради интереса работу AVZ на компе с [b]Win NT 4 SP6 Server[/b]. Вот такой раритет, но все же в хелпе AVZ написано, что должна работать на Windows NT.
Привожу результаты (см. лог):

1. Кусок лога:
[code]Не найдена библиотека rasapi32.dll
...
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана[/code] Т.е. поиск перехватчиков API, работающих в KernelMode, не производится. Выдается ошибка загрузки драйвера [b]avz.sys[/b].

2. Проверка памяти:
[code] Количество найденных процессов: 0
Количество загруженных модулей: 0
Проверка памяти завершена[/code] Т.е. память не проверяется, хотя в "Исследовании системы" видны запущенные процессы.

3. В логе "Исследование системы" и "Диспетчере процессов" нет ни одной DLL, используемой процессами, что странно.

4. В "Настройки SPI/LSP" - Поставщики пространства имен (NSP):
[code]Обнаружено - 2, опознано как безопасные - 2[/code] Это не соответствует действительности, т.к. эти файлы неизвестны AVZ и должны быть закрашены в темный цвет.

P.S. Обратил внимание, что почти все системные файлы Win NT 4 SP6 Server неизвестны AVZ. Похоже, кроме меня ей уже никто не пользуется. :)

:? Олег, есть смысл высылать Вам эти файлы для включения в базу безопасных или работа AVZ в этой системе не будет поддерживаться?

Наверное, не имеет смысла. NT4 по внутренностям довольно сильно отличается от 2K и более поздних. Драйвер, скорее всего, придётся писать заново.

Лично я свои раритеты намерен к Новому году проводить на пенсию. Их осталось всего два - контроллеры домена, однако, так просто не заменить.

Под NT 4 у AVZ не работают новые разновидности драйвер - в принципе я могу прислать приватную версию, которая там функционирует - там в драйвере нет некоторых "наворотов", которые приводят к несовместимости с NT4. А вот процессы он обязан показывать, тут нужно разбираться.

Как я понял из ветки: [url]http://virusinfo.info/showthread.php?t=2395[/url] сообщения AVZ вида:
[code]Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8[/code] это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.

Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!

[QUOTE=DenZ]Как мне удалось понять из ветки: [url]http://virusinfo.info/showthread.php?t=2395[/url] сообщения AVZ вида:
[code]Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8[/code] это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.

Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно![/QUOTE]
Перехват функций может быть опасным а может и не быть. Решить опасный он или нет может только человек имеющий определённый опыт и знания, и то с некоторой долей уверенности. Для того существует данный форум, что бы неподхотовленным пользователям было где спросить совета в сомнительных ситуациях.

[QUOTE=DenZ]Как я понял сообщения AVZ вида:

Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8
это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.

Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно![/QUOTE]

Помнится, у меня подобные две строки исчезли после сноса Нортоновских утилит.

[QUOTE=Geser]Перехват функций может быть опасным а может и не быть. Решить опасный он или нет может только человек имеющий определённый опыт и знания, и то с некоторой долей уверенности. Для того существует данный форум, что бы неподхотовленным пользователям было где спросить совета в сомнительных ситуациях.[/QUOTE]
В данном случае Geser прав - решение должен принимать человек, в хелпе и FAQ я это прописал ...