AVZ 4.25

**NickGolovko** · 29.07.2007, 16:04

Дивна вторая строка автозапуска во вложенном логе.

Шо цэ?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Jef239** · 29.07.2007, 16:33

Сообщение от NickGolovko

Дивна вторая строка автозапуска во вложенном логе.

Шо цэ?

Ты про "D:\Program Files\Comodo\Firewall\CPF.exe" /background?
И что тут дивного? Там ещё одна такая есть, с кавычками посредине строки... Видимо так в реестhе и засписано.

**NickGolovko** · 29.07.2007, 16:41

Значит, не туда смотрите.

**Зайцев Олег** · 29.07.2007, 16:46

Сообщение от NickGolovko

Значит, не туда смотрите.

Интересно бы экспортнуть ключик HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager на той машине ...

**Jef239** · 29.07.2007, 17:25

Сообщение от NickGolovko

Значит, не туда смотрите.

%@$%@ твою %%ть! Ни @%#$ себе! Увидел!
Мда, пред сном на ЭТО смотреть не стоит....

**NickGolovko** · 29.07.2007, 17:33

2 Олег: если получится, попрошу.

**Макcим** · 31.07.2007, 12:27

Кажется я нашел ещё один баг. Вставляем в дисковод диск и запускаем AVZ. Закрываем AVZ и вытаскиваем диск. При следующем запуске без диска получаем ошибку и AVZ не запускается

**SuperBrat** · 31.07.2007, 13:21

Maxim, тут Олег отвечал:
http://virusinfo.info/showpost.php?p...&postcount=328

**Jef239** · 31.07.2007, 13:22

Сообщение от Maxim

Кажется я нашел ещё один баг. Вставляем в дисковод диск и запускаем AVZ. Закрываем AVZ и вытаскиваем диск. При следующем запуске без диска получаем ошибку и AVZ не запускается

Видел я такое. А вообще-то иногда необходимость вытащить сидюк бывает и по ходу сканирования. И даже когда его проверка запланировна - всё равнот его вынуть могут.

**Pili** · 31.07.2007, 17:33

Можно ли сделать, чтобы AVZ определял, что он запущен из терминальной сессии и писал об этом в логе? Плюс, если возможно, выдавал окошко юзеру, что хорошо бы запустить AVZ с консоли.
Разбор логов сделанных AVZ из терминалки затруднен (для примера http://virusinfo.info/showthread.php?t=11417 логи похоже делались из терминалки), в автозапуске напр. стоят такие пути "C:\Documents and Settings\Dean.BIG\WINDOWS\system32\tscupgrd.exe", в режиме запуска с консоли было бы "C:\WINDOWS\system32\tscupgrd.exe". Админам удобнее конечно работать с терминалки, можно ли доработать функционал AVZ для работы в терминальных сессиях?

**Alvares** · 01.08.2007, 15:45

Зайцев Олег, а нельзя ли в лог добавить не только
"найдено вредоносных программ 0"
но и
"найдено подозрительных объектов 0"
в случае, если были подозрения

**Зайцев Олег** · 01.08.2007, 16:20

Сообщение от Pili

Можно ли сделать, чтобы AVZ определял, что он запущен из терминальной сессии и писал об этом в логе? Плюс, если возможно, выдавал окошко юзеру, что хорошо бы запустить AVZ с консоли.

Сообщение в логе я ввел. Работу с путями тоже тожно сделать - посмотрю ...

Добавлено через 25 секунд

Сообщение от Alvares

Зайцев Олег, а нельзя ли в лог добавить не только
"найдено вредоносных программ 0"
но и
"найдено подозрительных объектов 0"
в случае, если были подозрения

Это не сложно, добавлю

**Jef239** · 01.08.2007, 20:09

Сообщение от Зайцев Олег

Сообщение в логе я ввел. Работу с путями тоже тожно сделать - посмотрю ...

Добавлено через 25 секунд

Это не сложно, добавлю

Зайцев Олег, Раз уж ты предложения принимаешь, то нельзя ли избавить тебя от урной работы? Ну вот странно мне, ПОЧЕМУ ЗАВЕДОМО чистые файлы я должен сначала отправлять тебе, а потом уже получать их MD5 в апдейтах?
То есть я предлагаю эту схему упростить. Сделать опцию "Занесение файла в локальный список заведомо чистых". И всё... А то у меня пара драйверов от OutPost уже полгода в подозрительных болтается... Я их тебе посылал, но я понимаю, у тебя руки не доходят. Или меняются версии быстрее, чем ты их обрабатываешь...

**SuperBrat** · 01.08.2007, 21:24

Jef239, я читал что у Олега этот процесс автоматизирован. Вы не сильно его напрягаете. А вот, на каком этапе пропадают и не доходят заведомо чистые файлы от Opera, DM, Nero, Sun Java и QIP уже две недели, мне было бы интересно узнать.

**Silencer** · 01.08.2007, 23:21

Подскажите, есть ли функция для скриптов, работающая как CopyFile(), но с использованием "прямого чтения"?

**Muffler** · 01.08.2007, 23:51

Сообщение от Silencer

Подскажите, есть ли функция для скриптов, работающая как CopyFile(), но с использованием "прямого чтения"?

Сейчас нет, но в 4.26 - будет.

**АлександрУ** · 02.08.2007, 05:18

В диалоге http://virusinfo.info/showthread.php?t=11497 упоминается runtime2.sys. столкнулся с ним 27-07-2007, пригласили посмотреть "сбойный" пк. При загрузке подвисал в bsod nod32(amon.sys), убрал его,поставил antivir и avz. Antivir убил 11 вирусов, а 12-ый(runtime2.sys) убивал каждый раз при загрузке(название не записал).AVZ подвисал на анализе kist.ПК стал работать, но убить трояна runtime2.sys не смог...не хватило времени для дальнейшего анализа.

**Зайцев Олег** · 02.08.2007, 08:47

Сообщение от АлександрУ

В диалоге http://virusinfo.info/showthread.php?t=11497 упоминается runtime2.sys. столкнулся с ним 27-07-2007, пригласили посмотреть "сбойный" пк. При загрузке подвисал в bsod nod32(amon.sys), убрал его,поставил antivir и avz. Antivir убил 11 вирусов, а 12-ый(runtime2.sys) убивал каждый раз при загрузке(название не записал).AVZ подвисал на анализе kist.ПК стал работать, но убить трояна runtime2.sys не смог...не хватило времени для дальнейшего анализа.

Я знаю, этот эффект изучается ...

**Alvares** · 02.08.2007, 18:40

Кстати
Маскировка процесса с PID=3596, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3596)

что это значит? И где ловить перехватчик?
З.Ы. Hijackthis, RkU не показывают такого процесса.

**Jolly Rojer** · 03.08.2007, 11:12

Сообщение от AStr

и еще бы сообщенье, если вышла новая версия

Дык это вроде как уже достаточно давно реализовано... правда поправлюсь если AVZ совсем старая версия и базы не подходят то тогда будет предложено скачать более свежую версию.

AVZ 4.25

Опции темы

Ваши права в разделе