Кстати, AVZ отлавливает не все трояны. Я уже не помню какие он не ловил, но могу подсказать прекрасный способ проверки. В гугле ищем по подобному запросу: "download crack". С найденных сайтов с "лекарствами" для программ с компа, содержимого веника которого не жалко, качается все подряд, 60-70% скачанных файлов будут заражены троянами, либо это будут тела самих троянов. Просто я когда-то такое пробовал.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
То, что не ловит - отсылать автору для включения в базу.
Ms Home Edition, Версия 2002, Сервис Пак 2. Конечно работаю из прав админа. Авз размещен локально. А вот про запуск честно говоря не понялСообщение от Зайцев Олег
Обычно запускаю, как все
Раньше всегда работало
Возможно слетела запись в Services....
AVZ во время проверки kernel-mode перехватов каждый раз "прописывает", если в текущий момент он не "прописан", а по окончании работы "отписывает" свой драйвер через интерфейс к SCM, поэтому "слетание", как вы говорите, вряд ли возможно.
Другое дело, если, скажем:
- пользователь (Паладин) запустил AVZ из одного места;
- драйвер при этом "прописался" к этому расположению;
- потом каким-то образом драйвер не "отписался" (скажем, в процессе работы AVZ комп неожиданно перегрузился);
- потом пользователь полностью перенес AVZ в другое место и запустил его уже оттуда.
В этом случае как раз и произойдет описанная Паладин-ом ситуация - это известная (в узких кругах
Про запуск - не обращайте внимания, это не ваш случай!...А вот про запуск честно говоря не понял
Для начала запустите AVZ из командной строки с ключом DEBUG=Y или же, если у вас сделан ярлык на запуск AVZ, временно пропишите этот ключ в ярлыке, т.е., к примеру:
"C:\Program Files\AVZ\avz.exe" DEBUG=Y
и запустите AVZ. Затем нажмите кнопку "Пуск", и полученный лог пришлите сюда.
Ну, и, попутно, вопрос: у вас, случайно, не было описанной выше ситуации с переносом AVZ в другое место? Если да, то просто удалите ветку
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\AVZ
из реестра (если не боитесь, конечно) - после этого все нормализуется!
Последний раз редактировалось aintrust; 10.04.2006 в 20:34.
Это как зделать то я незнаю
Вот логи avz_log.txt
Сканировал с DEBUG=Y
2aintrust: именно эту ситуацию я и имел ввиду
За лог спасибо, координаты бага одннозначно определились, попробую его вопроизвести.
Насчет драйвера - надо будет сделать регистрацию "вручную", я все делаю по науке, отсюда и проблемы
Похоже, что AVZ не проверяет автозапуск файлов из ключа:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Иллюстрация в этой теме:
http://virusinfo.info/showthread.php?t=5244
Сегодня рылся в логах и нашёл вот такое:
Сбой при запуске службы "AVZ Kernel Driver" из-за ошибки
Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений Не удается найти текст сообщения с номером 0xAVZ Kernel Driver в файле сообщений %2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Left home for a few days and look what happens...
У меня тоже такая же ситуация , причем с ранними версиями AVZ <Ошибка загрузки драйвера - проверка прерванаПишется :
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана
вот, точно не помню... возможно и была ситуация с переносом с одной из ранних версий AVZ ....
этой ветки у себя не нашел
Если такой ветки нет - значит все ОК, по крайней мере с точки зрения той ситуации с переносом AVZ, что я описал - т.е. на этот счет можете не беспокоиться.этой ветки у себя не нашел
Шлите сюда лог работы AVZ с ключом DEBUG=Y, как я описывал выше - это поможет прояснить ситуацию с загрузкой драйвера.У меня тоже такая же ситуация , причем с ранними версиями AVZ <Ошибка загрузки драйвера - проверка прервана
происходит и в обычном и в безопасном режиме....
Добрый день,
что-то у меня не получается запуск AVZ с ключом DEBUG=Y,
пытался и в ярлыке прописать (пишет -имя конечного файла задано не правильно)....пробовал и через "Выполнить" ..... - может ,что-то не так делаю ....
логи без DEBUG=Y прилагаю,
один в безопасном режиме ,другой в обычном...
Логи без DEBUG=Y, к сожалению, никак не помогут. В ярлыке на запуск, если у вас таковой имеется, пропишите примерно так:Добрый день,
что-то у меня не получается запуск AVZ с ключом DEBUG=Y,
пытался и в ярлыке прописать (пишет -имя конечного файла задано не правильно)....пробовал и через "Выполнить" ..... - может ,что-то не так делаю ....
логи без DEBUG=Y прилагаю,
"C:\Program Files\AVZ\avz.exe" DEBUG=Y
Обратите внимание, что если в пути к AVZ есть пробелы (как в вышеприведенном случае), то в ярлыке (и в строке "Выполнить" тоже) весь путь к AVZ от начала до конца нужно включить в двойные кавычки!
Наверное мы и по дебаг-логу не поймаем глюк. Я сейчас переделываю загрузчик драйвера, чтобы он выдавал подроьности - почему не удалось загрузить драйвер.
Я тоже ненашел !
этой ветки у себя не нашел
Будешь грузить в обход SCM, т.е. напрямую? Я проверил, кстати, - этот вариант 100%-но работоспособен на Висте.
ОК, спасибо ,получилось.....
логи DEBUG в безопасном,в обычном и с включенным AVZ GUARD.....
и на всякий случай протокол иследования системы.....
Ага, спасибо за логи... Но, увы, легче не стало - тем более, что в обычном режиме драйвер avz.sys все-таки загрузился и правильно показал перехваты в режиме ядра. По всей видимости, смог загрузиться и драйвер avzguard.sys...
Сейчас ясно только одно - глюк плавающий, и в AVZ нужно вводить дополнительную диагностику для его локализации.
Да, наверное в обход SCM, надоел он мне ... Я проверил "прямое прописывание" на NT4, W2K, XP, W2K3 - тоже страбатывает без проблем. Кстати, странный баг с остатками AVZ Guard в реестре тоже из-за SCM возникает, я симулировал этот баг сегодня, сведя воедино несколько описаний пользователей + логи
Ваши права в разделе
