AVZ 4.32

**chas99** · 31.03.2010, 17:09

Скажите пожалуйста, можно ли запускать AVZ с параметром REVIZOR через командную строку?
чтобы, например, настроить планировщик на создание базы каталога windows каждый месяц...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Зайцев Олег** · 31.03.2010, 17:12

Сообщение от chas99

Скажите пожалуйста, можно ли запускать AVZ с параметром REVIZOR через командную строку?
чтобы, например, настроить планировщик на создание базы каталога windows каждый месяц...

начнем с простого - а есть ли такой параметр ? Вроде такого не было ...

**chas99** · 31.03.2010, 18:04

Сообщение от Зайцев Олег

начнем с простого - а есть ли такой параметр ? Вроде такого не было ...

согласен =)
тогда по другому сформулирую - можно ли "автоматом" создавать базы Ревизора AVZ ?

**thyrex** · 31.03.2010, 21:06

Сообщение от Зайцев Олег

Вышел апдейт баз с эвристикой, которая генерится машиной автоматически.

Теперь в каждых логах подозрение на sptd.sys
Можно ли как-нибудь подкорректировать?

**Зайцев Олег** · 31.03.2010, 21:24

Сообщение от thyrex

Теперь в каждых логах подозрение на sptd.sys
Можно ли как-нибудь подкорректировать?

А как именно выглядит сообщение ? Дело в том, что в новой базе нет для нее записи ...

**Aleksandra** · 31.03.2010, 22:11

Сообщение от Зайцев Олег

А как именно выглядит сообщение ? Дело в том, что в новой базе нет для нее записи ...

Тема http://virusinfo.info/showthread.php?t=75021

>>> C:\Windows\system32\Drivers\sptd.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)

**Зайцев Олег** · 31.03.2010, 22:18

Сообщение от Aleksandra

Тема http://virusinfo.info/showthread.php?t=75021

Изменил, база перевыпущена. В сущности на работу "кибера" в 911 это не повлияет, система всеравно будет пробовать его карантинить, дабы изучить ... но AVZ перестанет ругаться. Причина как оказалось в том, что есть оказывается малвари, маскирующиеся под эмулятор диска - умно, нечего сказать ...

**Aleksandra** · 31.03.2010, 22:26

Сообщение от Зайцев Олег

Причина как оказалось в том, что есть оказывается малвари, маскирующиеся под эмулятор диска - умно, нечего сказать ...

Да, есть и на форуме это уже обсуждалось.

**thyrex** · 31.03.2010, 22:30

Сообщение от Зайцев Олег

Причина как оказалось в том, что есть оказывается малвари, маскирующиеся под эмулятор диска

Goldun можно вычислить по другим признакам в логе

**Зайцев Олег** · 31.03.2010, 23:48

Сообщение от thyrex

Goldun можно вычислить по другим признакам в логе

машина это и пыталась сделать

Но суть в том, что пока каарнтинов голдуна всего ничего (штуки 3), да и эмулятор их хелперов мало кто карантинил - данных пшик

**Макcим** · 01.04.2010, 10:53

А чем он отличается от обычного? Размером?

**thyrex** · 01.04.2010, 11:10

Да. Причем кардинально

http://forum.kaspersky.com/index.php...dpost&p=929225

**Зайцев Олег** · 01.04.2010, 11:16

Сообщение от thyrex

Да. Причем кардинально

http://forum.kaspersky.com/index.php...dpost&p=929225

Чтобы машине понять кардинальность отличия, нужно закарантинить довольно много тех и тех ...

**gjf** · 01.04.2010, 11:34

Сообщение от thyrex

Да. Причем кардинально

http://forum.kaspersky.com/index.php...dpost&p=929225

Размер в логах сразу не увидишь. Правильно некий sergio342 сказал. Незачем эмулятору дисков перехватывать IOCreateFile. Вот это и есть показатель.

Хотя надо отдать должное автору - очень хорошо подогнал под SPTD.

Добавлено через 5 минут

А вообще - у нас есть целый раздел для таких случаев, который, почему-то, чаще всего используется как крик последней надежды, если ничего не получается. Почему бы в случаях, когда нашли интересное заражение - не отписываться там? Так коллеги не изобретали бы каждый раз колесо.

**Макcим** · 03.04.2010, 23:12

Сообщение от gjf

А вообще - у нас есть целый раздел для таких случаев.

К сожалению (или к счастью) этот раздел пользователям не виден.

Олег, можно выводить в лог AVZ информацию об установленном антивирусе + добавить функционал для удаления остатков антивирусов, который были установлены раньше и удалились не полностью? Спасибо.

**thyrex** · 06.04.2010, 20:52

Олег, http://virusinfo.info/showthread.php?t=75429

В теме Goldun. Может удастся закарантинить

**vau67** · 09.04.2010, 23:12

Зайцев Олег, Добрый вечер, извините, вижу вы на сайте, можете помочь? Создать свою тему- это заголовок, текст а дальше, какую кнопку нажимать???
К слову, тема будет как вернуть автозапуск DVD, после работы мастера в AVZ. Еще раз извините. vau67

**grobik** · 09.04.2010, 23:28

vau67,
СОЗДАТЬ НОВУЮ ТЕМУ это и есть кнопка,которая нажимается последней после заполнения полей.

**AndreyKa** · 11.04.2010, 22:58

Класс TFileSearch функционирует не так как описано в документации:
http://z-oleg.com/secur/avz_doc/script_filesearch.htm
Свойство FileTime возвращает дату и время модификации найденного объекта, а не создания. И в формате не TDateTime, а в целочисленном (что-то вроде FILETIME из Windows API).

**gjf** · 16.04.2010, 17:22

Возможно ли скриптом считать hex-массив данных из параметра реестра (REG_BINARY) и записать его на диск в виде файла? И впоследствии считать этот файл и внести в реестр? Выкрутасы с TStringList как-то:

Код:

 i:= RegKeyStrParamRead('HKLM', Key0 , Param0);
 j:= RegKeyStrParamRead('HKLM', Key, Param);
.........
 Dump := TStringList.Create;
 Dump.Add (i);
 Dump.Add (j);
 Dump.SaveToFile(Path+'dump.dat');
 Dump.Free;
........

файл записывают, но обратная

Код:

........
		Dump := TStringList.Create;
		Dump.LoadFromFile (Path+'dump.dat');
		i:= Path[0];
		j:= Path[1];
		Dump.Free;	
.........

приводит к считыванию только нескольких первых символов.

Цель - создание дампов-бэкапов HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertif icates\SPC\Certificates, например.

AVZ 4.32

Опции темы

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Метки для этой темы

Ваши права в разделе