Здравствуйте Олег !
В основную базу AVZ 3.82 включен вирус Win32.HLLW.Steal или надо пользоваться дополнением ? Будет ли AVZ лечить от этого вируса ? Спасибо.
Согласен. Было бы классно! Тем более, что реакция АВЗ на сетевой червь stealth.worm.exe была первой. Огромное спасибо за экстренное обновление!
по новой версии 8_2_0 замечание.
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 457, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 9:18:35
Сканирование длилось 00:00:59
Все же лучше звучит "подозрительные файлы НЕ..."
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Некоторые проблемы в Исследовании системы и Автокарантине остались:
1. В "Драйверах" не опознаются файлы без пути и расширений (см. лог здесь), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
2. Черные дыры в "Модуле расширения проводника" остались.
3. Не может найти файл в "Модуле расширения Internet Explorer". В реестре по CLSID, указанном AVZ, такие строки:
Кстати, Олег, ты обещал скриптик для автоматического создания логов для форуме. Т.е. сканирование автозапуска + исследование системы.
Почти все готово - я запостил порвый скрипт из такой серии в теме про чистые файлы - он сканирует систему, вносить все подозрительное и неопознанное в карантин и после этого создает архив с наловленными файлами. На этой неделе я сделаю скрипт для проверки согласно правилам - для этого осталось пару команд в макроязыке протестировать...
Согласен. Было бы классно! Тем более, что реакция АВЗ на сетевой червь stealth.worm.exe была первой. Огромное спасибо за экстренное обновление!
по новой версии 8_2_0 замечание.
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 457, извлечено из архивов: 0, найдено вирусов 0
Сканирование завершено в 06.10.2005 9:18:35
Сканирование длилось 00:00:59
Все же лучше звучит "подозрительные файлы НЕ..."
Главное, что "НЕ" с большой буквы А фразу я перестрою, "подозрительные файлы ..." действительно звучит лучше
stealth.worm.exe естественно ловится версией 3.82 - главная база включает в себя все апдейты.
в одной из последних тем (http://virusinfo.info/showthread.php?t=3595) в логе 3.81 была такая запись в разделе "Автозапуск":
explorer.exe -- Ключ реестра C:\WINDOWS\system.ini, boot, shell
по моему вместо "Ключ реестра" должно стоять что-то типа "INI-файл"
и там же в строке
C:\WINDOWS\system32\userinit.exe, -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
стоит лишняя "," после имени файла (возможно поэтому файл не будет опознаваться по базе чистых)
Да, это сделано специально - AVZ-у запрещено сканировать и лечить все, лежащее в его папке. Сделано умышленно ...
я, кстати, спрашивал об этом в привате, но ответа так и не получил. раз есть такая фича, то нужно честно о ней предупреждать, чтобы не вводить пользователя в заблуждение. а то чтоже это получается за карантин, который никогда не проверяется?
я, кстати, спрашивал об этом в привате, но ответа так и не получил. раз есть такая фича, то нужно честно о ней предупреждать, чтобы не вводить пользователя в заблуждение. а то чтоже это получается за карантин, который никогда не проверяется?
Я вроде-бы отвечал (честно говоря не помню ...), тут есть два момента:
1. Были случаи залечивания папки Infected
2. Били случаи кумулятивного карантина
Поэтому я блокировал проверку всего, что в текущей папке AVZ (т.е. папке, из которой стартован EXE). Т.к. AVZ лежит по умолчанию в отдельной папке, то это не влияет на его работу.
В доке я это пропишу ....
А зачем собственно проверять карантин? Есть возможность его промотра, этого достаточно. Вот если бы было обновление баз, а не всей программы вцелом, то тогда можно было бы сделать проверку карантина на опознавание содержащихся там подозрительных объектов.
А AVZ этот файл принимает ?? Если да, то файл скачался верно ... я например вижу размер 10409 (FTP клиент, втроенный в FAR). Возможно, FTP клиент шалит ??
2Олег: Олег, такой вопрос. Со времён различных эпидемий, у меня остались файлы восстановления настроек реестра. Поддерживает ли АВЗ все эти вещи в настоящее время? (Т.е. можно ли выкинуть все эти файлы уже? ;0-))).
2Олег: Олег, такой вопрос. Со времён различных эпидемий, у меня остались файлы восстановления настроек реестра. Поддерживает ли АВЗ все эти вещи в настоящее время? (Т.е. можно ли выкинуть все эти файлы уже? ;0-))).
Аналог ie.reg точно есть (только расширенный);
аналог lsp_xp.reg и NET-LSP.txt я пока не делал, т.к. лечние ошибок LSP в AVZ делает нечто подобное, только корректно.
setassoc.reg, UNDO.REG, Fixswen.inf - этого точно можно выкинуть, микропрограмма "Восстановление параметров запуска .exe, .com, .pif файлов" делает на порядок больше
------
тут кстати от пользователей все чаще поступают заявки сделать кроме микропрограмм восстановления микропрограммы чистки (удаление кукизов, чистка TEMP, и т.п.)
тут кстати от пользователей все чаще поступают заявки сделать кроме микропрограмм восстановления микропрограммы чистки (удаление кукизов, чистка TEMP, и т.п.)
Чистка TEMP полезно будет. Особенно если будет чистить все временные директории, которых в ХП несколько штук, и не вылетать с ошибкой если файл занят системой. Еще не плохо сделать опцию чистки Prefetch.
Сообщение от Синауридзе Александр
А фразу я перестрою, "подозрительные файлы ..." действительно звучит лучше
