AVZ 4.25

[Kuzz]

Возможно. А апача на этом сервере нет ? Я как-то наблюдал похожий глюк именно на ПК с апачем, взаимосвязь установить не удалось.

Апача нет. Присутствует Squid.
Сегодня попробую проверить это на чистой системе.

[Bratez]

Ачепятку вот в логе обнаружил:

<назначение на задано>

(это в модулях расширения проводника)
Кстати, такая надпись указывает на отсутствие файла или нет?

[Sibir]

Олег, Ваша программа ругается на перехват функций Comodo Firewall-ом. Надеюсь, перехват функций файерволами безопасен?

[drongo]

Олег, Ваша программа ругается на перехват функций Comodo Firewall-ом. Надеюсь, перехват функций файерволами безопасен?

Tак и должно быть,это не опасно. Hадо же как-то фаерволу защищать ваш комп Если есть подозрения, выполните правила в разделе "помогите", посмотрим.
Читайте: http://www.z-oleg.com/secur/avz_doc/faq_3.htm

[Sibir]

Теперь нет подозрений. :-) Спасибо.

[Mad Scientist]

У человека (общались по ICQ)
Avast выдал при запуске AVZ

0:55:09: Исходное имя файла: avz_3152_1.tmp
папка : блаблабла/Локал Сетингс/Темп
описание виря: win32:Trojan-gen {Other}

кстати, куда все время ходит опера
pagead2.googlesyndication.com ?

[Mad Scientist]

1:05:38: вот ещё какая фишка уже 2й раз выскакивает - найдено новое устройство...
1:06:35: в сведениях строка :
ROOT\LEGACY_AVZRK\0000
(Это AVZPM - новое устройство)
У того же человека (XP SP2)

[pig]

кстати, куда все время ходит опера
pagead2.googlesyndication.com ?

Гугловская рекламокрутилка.

[Edgor]

Помогите пожалуйста новичку разобраться с настройкой обновления! Читал хелп но чегото не допонял, может руки кривые.
Опишу задачу: Имеется локальная сеть, в сети есть сервер который через Инет обновляет базы Nod32 и Касперского. Далее клиенты забирают с этого сервака обновления. Необходимо то же самое настроить для AVZ.

[Зайцев Олег]

Помогите пожалуйста новичку разобраться с настройкой обновления! Читал хелп но чегото не допонял, может руки кривые.
Опишу задачу: Имеется локальная сеть, в сети есть сервер который через Инет обновляет базы Nod32 и Касперского. Далее клиенты забирают с этого сервака обновления. Необходимо то же самое настроить для AVZ.

Если сервер под Windows, то это просто. Для этого необходимо:
1. Поставить на сервер AVZ, организовать его запуск через планировщик со скриптом update.txt следующего вида:

Код:

var
 S : string;
begin
 // Обновление баз
 if ExecuteAVUpdate then S := 'Обновление прошло успешно'
  else S := 'Ошибка обновления баз AVZ';
 // Протоколирование
 AddLineToTxtFile(GetAVZDirectory + 'avz_upd.log',  DateTimeToStr(Now)+' '+S);
 // Завершение работы AVZ
 ExitAVZ;
end.

в кроне запуск AVZ будет именть вид
avz.exe HiddenMode=1 script=update.txt

2. далее папку с AVZ расшарить и на клиентских ПК запускать AVZ прямо из нее (размер у него маленький и на сеть нагрузки не будет). Можно это автоматизировать скриптом, и организовать автокарантин подозрительных файлов на сервер.

[PavelA]

@Олег Зайцев
Вопросик:
Если используется Boot Cleaner (BC_Activate), то ExecuteSysClean используется после перезагрузке вместе с Boot Cleaner при его работе.

[Зайцев Олег]

@Олег Зайцев
Вопросик:
Если используется Boot Cleaner (BC_Activate), то ExecuteSysClean используется после перезагрузке вместе с Boot Cleaner при его работе.

Нет. ExecuteSysClean чистит хвосты в реестре до перезагрузки, а Boot Cleaner добавает что ему положено после перезагрузки.

[PavelA]

Нет. ExecuteSysClean чистит хвосты в реестре до перезагрузки, а Boot Cleaner добавает что ему положено после перезагрузки.

Код:

begin
deletefile;
importdeletlist;
bc_activaite;
executesysclean;
RebootWindows;
end

В этом случае executesysclean что-нибудь почистит или нет?

[NickGolovko]

Олег,

можно сделать функцию скрипта (желательно через драйвер) "заменить файл такой-то оттуда-то файлом таким-то оттуда-то"?

[Зайцев Олег]

Код:

begin
deletefile;
importdeletlist;
bc_activaite;
executesysclean;
RebootWindows;
end

В этом случае executesysclean что-нибудь почистит или нет?

да, почистит ... - до перезагрузки. А BC добавит после - добъет оставшиеся неудаленными файлы. Для надежности в начале скрипта следует еще AVZGuard включить - на случай, если зловред в цикле пересоздает свои ключи реестра.

[Зайцев Олег]

Олег,

можно сделать функцию скрипта (желательно через драйвер) "заменить файл такой-то оттуда-то файлом таким-то оттуда-то"?

В 4.26 сделаю - функцию BC_CopyFile(from, to).

[Dont.care.a.f!g]

Включил AVZPM, максимальную эвристику, блокировку всех руткитов... Запустил сканирование С: и вскоре получил BSOD:
STOP: 0x0000008E (0xC0000005, 0xF78A7810, 0xF34CE524, 0x00000000)
ute4odkw.sys - Address F78A7810 base at F78A6000, DateStamp 45e7c098

(AVZ 4.25)

Minidump: http://uploaded.to/?id=n4h53w
("Вложить файлы" почему-то не работает)

[Kuzz]

Сегодня попробую проверить это на чистой системе.

На свежеустановленой системе, без какого-либо установленого постороннего софта (установка по умолчанию, все роли выключены) АВЗ выдал 8 таких сообщений.
Через минут 5-7 таких строчек уже 12.

P.S. Версию АВЗ в названии темы наверное стоит исправить.

[Mad Scientist]

Не планируется ревизор реестра по типу уже существующего ревизора диска?

[eGo®Z]

Версия AVZ 4.24 - 4.25
-----------------------
Столкнулся с ситуацией, когда потребовалось работать с AVZ в режиме командной строки и с удивлением обнаружил, что несмотря на то, что проверка архивов в опциях командной строки включена, параметр CheckArchives=Y (и в интерфейсе это отображается), проверка одиночного zip-файла (тестировался zip с вирусом внутри) с параметром SCANFILE= (или вообще без параметра, что означает отсутствие знака "=") не выполняется. Другие контейнеры (mht, msg) и архивы (rar) при этом проверяются (насколько я понял - ace и 7z пока не поддерживаются).
Также, при проверке папок, почему-то помечается и проверяется не только папка назначения, но и папка на уровень выше: например, при указании "C:\Program Files\The Bat!\MAIL\EZ\Attach\DeBora\" будет также полностью проверена папка "C:\Program Files\The Bat!\MAIL\EZ\Attach\", но проявляется это не всегда, т.е. не со всеми каталогами, а только с некоторыми - системы я не нашел.

Теперь о том, чего в программе лично мне не хватает - это интеграции в shellextension (контекстное меню Проводника).
У меня часто бывают ситуации, когда приходится бороться с вирусами и им подобной мерзостью "in wild" и некоторые из них блокируют теми или иными способами запуск любых exe-приложений, в т.ч. и в safe mode (если он вообще доступен). Так же могут быть заблокированы вызовы диспетчера задач, запуск mmc-консоли и её расширений и т.д. Но при этом могут работать (а, как правило, так и есть) ассоциации - т.е. запуск приложений по зарегистрированным типам файлов, а также контекстное меню Проводника.
В результате через контекстное меню Проводника AVZ запустить всё же можно. Так же можно и установить это контекстное меню - ведь ассоциация с inf-файлом работает - и по установке, и по его редактированию.
В одном из подобных случаев мною, на скорую руку, была сделана интеграция AVZ в shell через inf - все другие пути лечения были недоступны - HDD подключить к другому ПК возможности не было и все другие антивирусы, копируемые для установки, вирусом тут же убивались - DrWEB вместе с CureIT, AVP и т.д. Только так от вирусов избавиться и удалось.
inf-файл прилагаю.
ЗЫ: 1. Отредактируйте в конце inf-файла параметр AVZDir для указания расположения папки с AVZ (по умолчанию C:\AVZ4)
2. Также можно на своё усмотрение изменить параметры запуска программы в режиме командной строки - параметры CmdLine и CmdAdd
3. Имя inf-файла менять не стоит