AVZ 4.34-4.35

[B]Вышла новая версия антивирусной утилиты AVZ - 4.34.[/B] Архив с утилитой содержит базу вирусов от 08.07.2010 - 275419 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 374 микропрограмм эвристики, 9 микропрограмм ИПУ, 224 микропрограммы поиска и устранения проблем, 213048 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований.
[B]Основные модификации:[/B]
[+++] Новая подсистема расширенного эвристического иследования системы. Запускается в конце исследования
системы, код исследования хранится в обновляемой базе, что позволяет добавлять новые процедуры
исследования без обновления самого AVZ
[+++] Новая подсистема эвристической чистки системы на основе обновляемой базы данных
[+++] XML протокол: в протокол выведены данные менеджера анализатора протоколов и обработчиков, менеджера SPI/LSP,
усовершенствован ряд существующих логов, в XML выведены данные о системе
[+++] Скрипт-язык: новые команды: ClearLog (очистка протокола), ExecuteScript (загрузка и исполнение скрипта),
QuarantineFileF (расширенный карантин по набору условий), ClearQuarantineEx (расширенная чистка крантина),
SysCleanGetFilesList (запрос списка файлов, назначенных на эвристическую чистку),
SysCleanSetFilesList (задание списка файлов для эвристической чистки),
DownloadFile (загрузка файла из Интернет), FTPSendFile (отправка файла на FTP сервер)
[+++] Поддержка x64 (в диспетчере процессов отображается тип процесса, поиск файлов ведется с учетом разрядности процесса,
карантин производится с учетом файлового редиректора (если есть идентичные файлы для x32 и x64, то карантинятся оба файла)
[++] Менеджер автозапуска - добавлен контроль ряда новых ключей
[++] Добавлен режим запуска на отдельном рабочем столе (ключ командной строки NewDsk=Y)
для упрощения борьбы с блокерами-вымогателями
[+] Добавлен ключ командной строки QrOnlyEXE - для активации фильтра, разрешающего помещение в
карантин только EXE файлов
[+] HTML протокол - добавлен дополнительный интерактив в разные точки протокола
[+] Эвристики ИПУ - добавлена запись данных о найденных потенциальных уязвимостях в XML
[-] Исправлен сбой антикейлоггера на Win7
[-] Исправлена ошибка в анализе ключей автозапуска (допускающие множественные значения
параметры с единственным значением анализировались некорректно)
[-] Скрипты - исправлена работа функции DeleteService (были проблемы с удалением ключа службы в реестре)
[-] BootCleaner - удаление файлов с атрибутом ReadOnly не работало как положено
[-] Исправлена работа функции ClearQuarantine
[-] Исправлены незначительные баги в парсере имен файлов

В новой версии примерно в два раза расширена база чистых файлов. Для пополнения базы чистых создана специальная автономная система - [URL]http://virusinfo.info/index.php?page=cyberhelper[/URL] (передать файлы в систему для устранения ложных срабатываний и ополнения базы чистых можно через форму на данном форуме [URL]http://virusinfo.info/index.php?page=uploadclean[/URL] (инструкция и результаты загрузки - [URL]http://virusinfo.info/showthread.php?t=3519[/URL], для загрузки файлов не требуется регистрация)

[URL="http://www.z-oleg.com/secur/avz/download.php"]Страница загрузки 4.34[/URL]

PS: мой сайт может тормозить и падать, так как пользователей AVZ куда больше миллиона ...

Успел быстро скачать и скорость хорошая была, спасибо.

Дополнение - обновился так-же редактор скриптов, сам редактор не менялся, а вот его базы обновлены - для поддержки новых команд скриптязыка. Хелперам советую присмотреться к QuarantineFileF - это новая фича для карантина по нечетким условиям (диапазону размеров, маске имени файла, дате ...) - см. [URL]http://z-oleg.com/secur/avz_doc/script_quarantinefilef.htm[/URL]

Неделя была (и есть) просто ужасная, но ты умеешь радовать! Спасибо, Олег!

[QUOTE='Зайцев Олег;666932']PS: мой сайт может тормозить и падать, так как пользователей AVZ куда больше миллиона ... [/QUOTE]
Если что - перевыложил сюда: [URL="http://www.drpbk.dp.ua/files/avz4.zip"]avz4.zip[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

[QUOTE]Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39]
Ошибка микропрограммы 8[/QUOTE]
Ooops...

[URL="http://85.114.9.148:8081/avz4.zip"]зеркало[/URL] [COLOR="DimGray"](временно полежит с месяц точно)[/COLOR]
[COLOR="DimGray"]Перезалито в соответствии с [URL="http://virusinfo.info/showpost.php?p=666990&postcount=10"]п.10[/URL][/COLOR]

что бы это значило?

лог стандартного скрипта №2,

8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен автозапуск программ с CDROM
Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39]
Ошибка микропрограммы 8
Проверка завершена

ОС WinXP SP3,

+

Пропущен пробел. Ошибка при обработке ресурса ''file:///C:/TEMP/avz434/LOG/avz_sysinfo.xml''. Строка 265,Положение 109

раздел, <RK_IRP> ... </RK_IRP>, пробел между HookPtr и CheckResult

Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39]
Ошибка микропрограммы 8
Есть такое. ОС Win7 x64

Ошибка скрипта: Incompatible types: 'Integer', 'String', позиция [7:39]
Ошибка микропрограммы 8
ОС W 2000

Версия перезалита, это был банальный левый символ в скрипте, попал туда перед сборкой баз новой версии ...

а бут-клинер совместим?

Подскажите пожалуйста почему при запуске восстановления SPI/LSP - AVZ вылетает, даже при включенном AVZGuard всё равно вылетает, т.е. исчезает но в процессах висит, завершить процесс невозможно поскольку всё заблокировано, приходится перезагружать комп. Если без включенного AVZGuard то AVZ исчезает и в процессах. Решил сделать полное пересоздание настроек SPI но результат тот же через несколько секунд AVZ самозакрывается.

Менеджер LSP выдаёт такие ошибки:

Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 8
Возможны проблемы при работе с сетью и Интернет

Вроде проблем с интернетом нет, менеджер ошибки не исправляет но всё закрывается

[QUOTE=Nerimash;666995]а бут-клинер совместим?[/QUOTE]
Да, полностью

[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]

[QUOTE=Voyka;667000]Подскажите пожалуйста почему при запуске восстановления SPI/LSP - AVZ вылетает, даже при включенном AVZGuard всё равно вылетает, т.е. исчезает но в процессах висит, завершить процесс невозможно поскольку всё заблокировано, приходится перезагружать комп. [/QUOTE]
А зачем это делается, если не секрет - хелперы посоветовали или как ?

[QUOTE=Зайцев Олег;666990]Версия перезалита, это был банальный левый символ в скрипте, попал туда перед сборкой баз новой версии ...[/QUOTE]

обновил версию, ошибка ушла.

[quote]8. Поиск потенциальных уязвимостей
.....
.....
Проверка завершена
[/quote]

[QUOTE=santy;667007]обновил версию, ошибка ушла.[/QUOTE]
Отлично ... если все будет нормально очень скоро эта версия "расползется" по серверам ЛК. Сейчас это вроде бы произошло, я включил редирект, а то мой сайт уже стабильно в статусе "503. Сервис временно недоступен" - все качают :) Просьба проверить, нормально ли сейчас качается

c x64? Пробовал карантинить текстовый файл 1.tmp в корне диска С:. В итоге создались только папка Quarantine и подпапка с датой, и ниодного файла. Вопрос: что я делаю не так?

ПС скрипт:
[php]
begin
BC_QrFile('C:\1.tmp');
BC_QrFile('1.tmp');
BC_LogFile(GetAvzDirectory + 'boot.log');
BC_Activate;
RebootWindows(true);
end.
[/php]
Ни файла лога ни файла с карантином. Только скрипт выполнен без ошибок.

[QUOTE=Nerimash;667010]c x64? [/QUOTE]
Не совместим. Бутклинер совместим с старой версией AVZ, на x64 он не заработает (хотя он там в общем-то и не нужен). В очердной версии вполне вероятно появление BC и Guard для X64

ок :)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

но есть другая особенность. Все также есть проблемы с "ЧИСТЫМИ" файлами. Из секции Drivers только 2 проверенных, при скане AVZ интегрированного в KIS2011 проверенных драйверов уже под 200.

[CODE]2. Проверка памяти
Количество найденных процессов: 43
>>> Реальный размер предположительно = 2174976
Анализатор - изучается процесс 5076 D:\malzilla_0.9.3pre5\malzilla.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Количество загруженных модулей: 547
Проверка памяти завершена[/CODE]
[CODE]>>> Реальный размер предположительно = 2174976[/CODE]
это к чему относится?

Еще фичу нашел: если в окне протокола при зажатой левой кнопки мыши покрутить скролером, то меняется размер шрифта.

[QUOTE='Зайцев Олег;667009']Просьба проверить, нормально ли сейчас качается [/QUOTE]
[CODE]wget -v --timestamping -P %curdir%avz4_orig\ http://www.z-oleg.com/avz4.zip

--14:41:44-- http://www.z-oleg.com/avz4.zip
=> `D:/!Titan/AVZ_Update/avz4_orig/avz4.zip'
Proxy request sent, awaiting response... [B]302 Moved Temporarily
Location:[/B] http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip [following]

--14:41:44-- http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip
=> `D:/!Titan/AVZ_Update/avz4_orig/avz4.zip'
Proxy request sent, awaiting response... 200 OK
Length: 6а079а521 (5.8M) [application/x-zip]

100%[====================================>] 6а079а521 2.73M/s

14:41:51 (2.73 MB/s) - `D:/!Titan/AVZ_Update/avz4_orig/avz4.zip' saved [6079521/6079521][/CODE]

[QUOTE='Alex_Goodwin;667032']Еще фичу нашел: если в окне протокола при зажатой левой кнопки мыши покрутить скролером, то меняется размер шрифта.[/QUOTE]

Это и в 4.32 было :)

[QUOTE=Зайцев Олег;667009] Просьба проверить, нормально ли сейчас качается[/QUOTE]
только что прилетело на ура

[QUOTE=Nerimash;667028]ок :)

[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]

но есть другая особенность. Все также есть проблемы с "ЧИСТЫМИ" файлами. Из секции Drivers только 2 проверенных, при скане AVZ интегрированного в KIS2011 проверенных драйверов уже под 200.[/QUOTE]
Есть конечно - не все сразу ... модули пространства ядра на x64 адаптированы, список служб и драйверов - в процессе адаптации

[QUOTE]Сообщение от [B]Voyka[/B]
Подскажите пожалуйста почему при запуске восстановления SPI/LSP - AVZ вылетает, даже при включенном AVZGuard всё равно вылетает, т.е. исчезает но в процессах висит, завершить процесс невозможно поскольку всё заблокировано, приходится перезагружать комп. Если без включенного AVZGuard то AVZ исчезает и в процессах. Решил сделать полное пересоздание настроек SPI но результат тот же через несколько секунд AVZ самозакрывается.

Менеджер LSP выдаёт такие ошибки:

Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 8
Возможны проблемы при работе с сетью и Интернет

Вроде проблем с интернетом нет, менеджер ошибки не исправляет но всё закрывается[/QUOTE]

[QUOTE]Сообщение от [B]Зайцев Олег[/B]
А зачем это делается, если не секрет - хелперы посоветовали или как ?[/QUOTE]

Просто во время периодического сканирования AVZ он иногда вылетает, а иногда выдаёт синий экран смерти, вот и пытаюсь понять что к чему.
Поскольку сканирование на вирусы, открытие темы и помощь тут ни каких результатов не приносит.
В безопасном режиме вообще загрузиться невозможно - опять же синий экран. Если это не может быть из за ошибок LSP то я не пойму в чём дело...

как себя поведет(переименование, удаление, отложенное удаление файла, удаление ключей реестра) АВЗ с файлом из спец символов? например, ♦♥s.exe (alt+4 alt+3) и таким же ключем автозапуска в секции Run.

[QUOTE=NickM;667069]как себя поведет(переименование, удаление, отложенное удаление файла, удаление ключей реестра) АВЗ с файлом из спец символов? например, ♦♥s.exe (alt+4 alt+3) и таким же ключем автозапуска в секции Run.[/QUOTE]
В случае полного имени должно в общем-то удалить ... но зловредов таких нет, поэтому извращаться я не пробовал - появятся, будем пробовать :) Но на всякий случай (юникодное имя, спецсимволы и т.п.) в BC давно есть возможность задать любой символ по его коду - это не применялось почти никогда, но есть [URL]http://z-oleg.com/secur/avz_doc/script_bc_deletesvcreg.htm[/URL]

[B]Зайцев Олег[/B], Не успела выйти новая версия, а мы уже с пожеланиями...
1) Иногда хочется сделать, но не пойму как в скрипте реализовать: поотключать сервисы в соответствии с неким "белым списком", через BC. А может, и файлы поудалять. А то иногда плодятся "суслики".
2) [B]Set[/B]BufferByte и т.д. в принципе не планируется?
3) Отправлял сегодня Вам в ПМ свой способ автозапуска. Где-то затерялось в потоке, или просто не до сук, с выпуском новой версии?

[QUOTE=antanta;667079][B]Зайцев Олег[/B], Не успела выйти новая версия, а мы уже с пожеланиями...
1) Иногда хочется сделать, но не пойму как в скрипте реализовать: поотключать сервисы в соответствии с неким "белым списком", через BC. А может, и файлы поудалять. А то иногда плодятся "суслики".
2) [B]Set[/B]BufferByte и т.д. в принципе не планируется?
3) Отправлял сегодня Вам в ПМ свой способ автозапуска. Где-то затерялось в потоке, или просто не до сук, с выпуском новой версии?[/QUOTE]
1. Я напишу (быть может придется подождать до выходных) пример такого скрипта
2. В общем-то потребности не было, но если она нужна, то реализовать в принципе можно (причем без кеширования - просто немедленны лобовой патч файла)
3. Видел, еще не успел отписать ... это известная в общем-то системная дурка (их на самом деле известно не менее 5 штук подобных, причем 2 из них используются реальными троянами и на одну есть эвристика AVZ). Если описанное появится в реальных зверях - появится вторая эвристика (это несложно сделать скриптом)

Klif.sys так и не заслужл доверия?) так и остался в подозрительных объектах.

[IMG]http://www.pictureshack.ru/images/2591gluk1.JPG[/IMG]
- про это давно писал. Забыли, наверное. Хотя, на это безобразие хотя бы эвристика ругается.
А на этот старый баг - нет. Только что проверил, все еще работает. Забэкапил beep.sys, поместил в drivers под именем beep.sys свой драйвер, которого в базах безопасных нет. Потом переименовал многострадальный notepad.exe в beep.sys, поместил в System32. В итоге мой дров в "диспетчере служб и драйверов" стал зеленым.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[B]Зайцев Олег[/B], [QUOTE] это известная в общем-то системная дурка[/QUOTE]
Если эта дурка известна, то не всем, насколько я понял. Wefensewall hips, а также KIS без дополнительной настройки HIPS пропускают спокойно. Других пока не проверял. Кстати, в случае с KIS код исполняется, а потом выдается сообщение, что программа [B]не была[/B] запущена. И предлагается запретить запуск.
Да и AVZ в объектах атозапуска не отображает.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[B]Зайцев Олег[/B], [QUOTE]1. Я напишу (быть может придется подождать до выходных) пример такого скрипта[/QUOTE] Такое возможно? Именно через BootCleaner? Я имею в виду случай, когда во время написания скрипта "сусликов" еще нет. Либо их не видно. Просто намекните как, не тратьте время. Кстати, BC может обрабатывать перехваты?

Ложное срабатывание при определении наличия программы в автозагрузке:
[code]Анализатор - изучается процесс 5124 D:\Portable\Miranda\miranda32.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?[/code]
32-битная Windows 7.

При этом ни встроенные средства, ни [url=http://technet.microsoft.com/sysinternals/bb963902.aspx]AutoRuns 10.01[/url] ничего такого в автозагрузке не показывают. А сам я и подавно в автозагрузку не прописывал. :)

[QUOTE=Infocatcher;667142]Ложное срабатывание при определении наличия программы в автозагрузке:
[/QUOTE]
Где ложное срабатывание ?

[B]Infocatcher[/B], Не смотря на использование в программе AVZ элементов искуственного интеллекта, представляется маловероятным, что прга нафантазировала. Иначе, Зайцева Олега можно было бы поздравить :D
Авторанс - не истина в последней инстанции же. Уверяю Вас.

Панель "Быстрый запуск" определяется АВЗ как раздел автозапуска. Что можно легко проверить посмотрев в лог.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Зайцев Олег;667057]Есть конечно - не все сразу ... модули пространства ядра на x64 адаптированы, список служб и драйверов - в процессе адаптации[/QUOTE]

Спасибо, будем ждать. Кстати это обновление планируется в последующей зборке или оно "приедет" вместе с обновлениями баз?

Ну все таки не могу дождатся драйверов бутклинера и гарда для х64 ;)

[QUOTE=Nerimash;667156]Панель "Быстрый запуск" определяется АВЗ как раздел автозапуска. Что можно легко проверить посмотрев в лог.[/QUOTE]Да, в быстром запуске есть.
Но это же не автозагрузка. Хорошо бы и писать что-нибудь соответствующее.

[QUOTE=antanta;667148]Авторанс - не истина в последней инстанции же. Уверяю Вас.[/QUOTE]Тем не менее, средство хорошее.
А истин в последней инстанции не бывает. Вот и используем, что есть. :)

Точно всё, что есть в панели быстрого запуска сразу попадает в карантин, если включен автокарантин, в логе как автозапуск пишет, и файлы экселя и ярлыки, вордовские файлы, всё что там есть. Просто каждое утро отсылать в базу чистых одни и те же карантины...
И Кибер со вчерашнего дня молчит, утром отправлял файлы на обследование и тишина..

[QUOTE=Infocatcher;667187]Да, в быстром запуске есть.
Но это же не автозагрузка. Хорошо бы и писать что-нибудь соответствующее.
[/QUOTE]
Хорошо бы читать то, что пишется в логе ... причем читать "как есть". Где там в логе написано, что это элемент автозагрузки ?! Это [U]запущенный процесс[/U], который подвергается изучению, по данному процессу собираются все доступные данные, которые могут хоть как-то его характеризовать, причем на уровне категорий без детализации (детализация есть в логе исследования, где дательно расписано, что и где прописано ... панель быстрого запуска является одной из форм, причисляемых мной к автозапуску (типовой пример - троян создает ярлычек с иконкой и помещает туда - что будет ?! целый ряд порнозвонилок, псевдоантивирусов и т.п. туда лезут ... и как я помню для Miranda, тем более Portable нетипично размещение в быстром запуске). Цель этих сообщений в логе - привлечь внимание хелпера к изучению соответствующих разделов лога

Огромное спасибо, Олег, за обновление, но, похоже, [url=http://virusinfo.info/showpost.php?p=454178&postcount=18]обработка циклических ссылок в Windows 7[/url] так и не исправлена. Из лога AVZ на Windows 7:
[QUOTE]Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Opera\Opera\vps\0000\wb.vx
[/QUOTE]

[B]okshef[/B], зато теперь на них не падает

[QUOTE=Зайцев Олег;667250]Хорошо бы читать то, что пишется в логе ...[/QUOTE]
Вроде бы, при обычном запуске сканирования (в отличие от стандартного скрипта сбора информации) лога не создается. Или я что-то упустил?
Вот меня и смутило «Записан в автозапуск !!», тем более, что раньше подобного про элементы Quick Launch не сообщало.

[QUOTE=Зайцев Олег;667250]и как я помню для Miranda, тем более Portable нетипично размещение в быстром запуске).[/QUOTE]
Ну, просто мне лень переустанавливать некоторые программы, котрые не требуют установки для своей нормальной работы.

[QUOTE=Зайцев Олег;667250]Цель этих сообщений в логе - привлечь внимание хелпера к изучению соответствующих разделов лога[/QUOTE]
Это все понятно, но было бы гораздо удобнее видеть в протоколе разные записи для все-таки различных причин подозрительности.

P.S. В логе, кстати, пишет про «Ярлык в папке автозагрузки». По «Quick Launch» в пути, конечно, понятно, но это не папка автозагрузки, а папка быстрого запуска, уж простите за буквоедство.