"Перекомпилировать" не совсем корректный термин, точнее сказать "переписать", так как отличий очень много. Но есть два встречных вопроса:Сообщение от Nerimash
1. Что такое "полноценная версия" (т.е. что сейчас конкретно неполноценного)
2. зачем она нужна, если обычный зверь 32-х разрядный (и он поражает x32 и x64 системы), а каких-то спец зверей под x64 пока не видно
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Под полноценной версией, я имею ввиду AVZ с полноценной поддержкой для x64 систем. Сейчас она не полная, так как AVZ например не удается получить доступ к системным файлам типа csrss.exe lsass.exe и.т.п не удается их карантинить (в случае какой либо внештатной ситуации), не работает бутклинер.
Та версия что есть(имею ввиду 32-х разрядная) меня в целом устраивает, но она не работает корректно на x64 системах, поетому я и поднял даный вопрос.
Не обьязательно переписывать все, достаточно чтобы Вы зделали возможность карантина и / или удаления x64 процессов( в том числе и kernel-mode драйверов и служб), зделали полноценную поддержку бутклинера и антируткита ну в принцыпе этого было бы достаточно.
Антируткит там пока не нужен - появятся ITW x64 руткиты и будет проблема, как с ними бороться - будет и средство. x64 процессы карантинятся и удаляются без проблем скриптом. Необходимо просто понимать, что в x64 среде системные папки парные - "Program Files" и "Program Files (x86)", ime и "ime (x86)", msagent и msagent64, system32 и SysWOW64 - и так далее. Аналогично с ключами в реестре. И система виртуально показывает соответствующему процессу соответсвующие папки/ключи - x64 процессу одни, x32 - другие. И если я сделаю AVZ x64 процессом - то ... он перестанет видеть x32 файлы и начнет видет x64 !! В том то главная беда и состоит, что скажем kernel32.dll существует в системе в двух экзеплярах. Так как зверье у нас x32 - то выгоднее "видеть" именно в режиме x32.
Ну у меня скриптом "4" почему то нормально карантинятся только драйвера Симантека (которые в силу своей архитектуры и есть x32) все осталные "недоверенные" типа csrss не карантинятся. Чем это можно исправить или лучше написать свой скрипт для карантина который вместо стандартного авто карантина буде использовать BC_QrFile ?
Да и еще вопрос почему не выполняется BC_LogFile? Это может свидетельсвтовать от том что бутклинер не отработал или вобще небыл выброшен?
Зайцев Олег,
Hello!
А программа у кого-нибудь нормально работает под Win7?
отправил только что репорт через
http://www.z-oleg.com/secur/avz/report.php
----
AVZ 4.32 с обновлением баз на 25.02.2010
при работе с Win7 x86 (с последними обновлениями) вылетает с Exception (100%
воспроизведение) проверил на 3х компах с Win7.
Вылет происходит после отображения информации:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Сканирование длилось 00:00:26
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Скриншот:
http://screenshot.su/show.php?img=2d...c299a215c4.jpg
----
работает нормально, но поиск кейлогеров в win7 нужно отключать
об этом писалось на форуме уже много раз
Добавлено через 2 минуты
например тут
Последний раз редактировалось Юльча; 25.02.2010 в 15:08. Причина: Добавлено
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
Вопрос по ключу командной строки:
В онлайн хелпе (п.13.2) NQ=[Y|N] - сетевой режим карантина.
В онлайн хелпе (п.15.43.8 ) nw=Y - ... Этот ключ переключает карантин в "сетевой режим".
Как понимаю, более правильный ключ, это NQ, тогда за что отвечает nw (и почему в строке запуска используются оба)?
NQ - документированный ключ. NW - не работает в текущих версиях, он был в внутренних версиях от 2003-2004 года и по смыслу был аналогичен набору параметров NQ=Y HiddenMode=3 Priority=-1
Добрый день. А планируется в скором времени выход новой версии AVZ?
Последний раз редактировалось dm2003; 26.02.2010 в 10:31.
может решение этих проблем, также как например такихКод:>> Тайм-аут завершения процессов находится за пределами допустимых значений >> Тайм-аут завершения служб находится за пределами допустимых значений >> Тайм-аут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей >> Нарушение ассоциации SCR файлов >> Подмена диспетчера задач >> Модифицирован ключ запуска проводника >> Internet Explorer - заблокирована настройка домашней страницы >> Заблокирован пункт меню Справка и техподдержка и т.д.
вынести вниз в раздел дополнительные операции или отделить ниже в отдельный подраздел (название придумать) - чтобы не тратить время на копи-пасте Нажал и команда уже в скрипте..Код:>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME . . . .
Но так будет не наглядно я думаю и опять же потеря времени-на прокрутку вниз...
Нагляднее было бы вот так(как для списка процессов, модулей пространства ядра и т.д.)
тогда вот с этим
программа бы разобралась сама, что надобно, то бы и подставила в скрипт- хелперу только кликнуть.
Решение можно вынести либо как уже повелось - под проблему или же как на рисунке справа.
Это конечно мое видение ситуации. Может рассмотрим такой вариант.
При добавлении списка файлов из системной папки в папку Quarantine для анализа через окно Copy Files to Quarantine в окне Лог появляется сообщение, что файлы добавлены, но в обновленном списке файлов окна Quarantine их нет. Заметил, что происходит не со всеми файлами, добавление 1-й порции прошло нормально. Судя по названиям в списке, дубляжей не добавлял. В чём причина?
П.С. Добавлял файлы, для которых AVZ залогил IAT modification detected или export table found in section .text, хотя автокарантином они в папку добавлены не были. Или их анализировать службе помощи форума не имеет смысла?
Последний раз редактировалось arnyc; 26.02.2010 в 22:58.
Я думаю, что они скорее всего проходят по базе безопасных.
Если не прав, поправьте...
AVZ при проверке зациклился на одной папке с архивами (проверяет ее содержимое до бесконечности), как можно пропустить проверку определенной папки коли у него такие проблемы при проверки бывают!
Антивирусная защита by корпус морпехов Norton Internet Security, на виртуальных машинах ударная группировка НАТО Avira, G-Data, TrustPort; миротворческие силы по поддержанию мира A-Squared; и отряд партизан DrWeb. :-)
Лучше определить архив, на котором циклится проверка, и отправить Олегу на разбор полётов.
У меня при работе AVZ Dr.Web в файле AVZ_xxxx_1.tmp (где х-комбинация цифр) обнаруживает подряд 3 разных вируса.
Что-бы это могло значить?
Это значит, что WEB почему-то "мышей не ловит" (слудет запустить его на полное сканирование и лечение дисков - для профилактики). Подробности - в документации: http://z-oleg.com/secur/avz_doc/faq_7.htm
Последний раз редактировалось Зайцев Олег; 28.02.2010 в 17:31. Причина: Добавлено
Только что вышел апдейт баз AVZ с новым видом эвристики - поиском зловредных BHO от современных троянов-вымогателей, различных рекламных и шпионских программ. Сообщение в логе отмечается как "Файл с подозрительным именем (CH - CLSID)", файл вносится в список подозрительных в исследовании системы и автоматически карантинится при включенном автокарантине. Эвристик защищен от реагирования на "хвосты" в реестре и легитимные файлы, перекрывает примерно 250 популярных семейств зловредов. Проверка выполняется в ходе ЭПС.
Этот эвристик полностью поддерживается киберхелпером и будет периодиечски актуализироваться по мере появления на VI или 911 опыта в виде обнаружения новых вредителей, устанавливающих BHO, или в случае автоматического отлова системой подобного зловреда
Последний раз редактировалось Зайцев Олег; 28.02.2010 в 17:33. Причина: Добавлено
В отчете АВЗ:
Отчет по Вирустотал - 0/41Код:Протокол антивирусной утилиты AVZ версии 4.32 Сканирование запущено в 01.03.2010 8:13:20 Загружена база: сигнатуры - 264539, нейропрофили - 2, микропрограммы лечения - 56, база от 24.02.2010 23:45 Загружены микропрограммы эвристики: 380 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 180364 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора Восстановление системы: Отключено c:\documents and settings\all users\application data\macrovision\flexnet connect\6\isuspm.exe >>>>> Trojan.Win32.Agent.bwpf
Сам файл.
Что не так или все так?
И второй вопрос по Хелперу (присоединяюсь к aldares)
Сам вопрос по архиву (постом выше).
1. Файл нужно закарантинить средствами AVZ иприслать через форму отправки чистых (можно сообщить сюда имя файла)
2. А в чем суть вопроса ?
1. Данный отчет при экспресс проверке АВЗ при запуске компьютера в лок.сети (дважды).
Скопировал себе эту папку - файл isuspm.exe проходит по базе безопасных.
2. Из 2х файлов карантина - 2 опасные.
А "В очереди на добавление в базу безопасных:
высокий приоритет: 1"
Или это просто такое выражение у КХ ?
Ваши права в разделе
