AVZ 4.29

[LoMo]

Зайцев Олег
Такой вопрос... тоесть Agnitum Outpost Firewall PRO (32-bit) 6.0 не даёт нормально AVZ работать и что бы нормально проходило сканирование - лечение надо сносить Agnitum Outpost Firewall PRO (32-bit) 6.0 и переходить на версию ниже 6.0? или это не влияет на эффект лечение - сканирование?
Заранее спасиб

[Jef239]

В поиске Cookies не работает кнопка "Сохранить протокол". То есть вообще никаких действий не вызывает.

Добавлено через 5 минут

Зайцев Олег
Такой вопрос... тоесть Agnitum Outpost Firewall PRO (32-bit) 6.0 не даёт нормально AVZ работать и что бы нормально проходило сканирование - лечение надо сносить Agnitum Outpost Firewall PRO (32-bit) 6.0 и переходить на версию ниже 6.0? или это не влияет на эффект лечение - сканирование?
Заранее спасиб

Я бы сказал так - если ты подозреваешь, что у тебя руткиты - для начала отсоединись от инета и снеси всё руткитоподобное (антивирусные ядра, брандамауэры и защиты игрушек).

Брандмауэр не даёт его отключить ни зловредам ни AVZ. И это вообще-то правильно. Равно как и хорошее антивирусное ядро не должно позволять AVZ его снимать.
На мой взгляд выход - убрать из стандартного скрипта безусловное снятие руткитов и заменить его на условное, чтобы пользователь мог попробовать и так и так.

[psw]

Вопрос по мастеру поиска и исправления проблем.
Исправление пункта
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
сводится к установлению параметра
AutoShareWks в 0
(HKLM\SYSTEM\CurrentControlSet\Services\lanmanserv er\parameters)
При этом, конечно, шары C$ etc. убиваются, но убиваются все шары вообще и,
что для пользователя может оказаться неожиданным, исчезает вкладка Sharing как класс. Т.е. пользователь при этом новую шару (неадминистративную) сделать просто не может.
Вопрос: а) насколько правильно такое поведение; б) не лучше ли было после убития административных шар вернуть значение параметра в прежнее значение
(если руками поставить 1, то вкладка появится, но об этом пользователь должен знать).

[Зайцев Олег]

Вопрос по мастеру поиска и исправления проблем.
Исправление пункта
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
сводится к установлению параметра
AutoShareWks в 0
(HKLM\SYSTEM\CurrentControlSet\Services\lanmanserv er\parameters)
При этом, конечно, шары C$ etc. убиваются, но убиваются все шары вообще и,
что для пользователя может оказаться неожиданным, исчезает вкладка Sharing как класс. Т.е. пользователь при этом новую шару (неадминистративную) сделать просто не может.
Вопрос: а) насколько правильно такое поведение; б) не лучше ли было после убития административных шар вернуть значение параметра в прежнее значение
(если руками поставить 1, то вкладка появится, но об этом пользователь должен знать).

Поведение в принципе правильное, в визарде есть такая фича - отмена изменений. С ее помощью в случае чего можно отменить сделанные изменения

[zerocorporated]

У avz есть команды GetComputerName и т.д. возвращающие какое либо значение. Может стоить добавить к ним команды для получения текущей даты и времени? Просто если отчеты будут складываются на сервере просто с названием машины - удобно бы чтоб они например сортировались по папкам(По дате) и внутри содержали время сканирования прям в имени файла.

[Muffler]

У avz есть команды GetComputerName и т.д. возвращающие какое либо значение. Может стоить добавить к ним команды для получения текущей даты и времени? Просто если отчеты будут складываются на сервере просто с названием машины - удобно бы чтоб они например сортировались по папкам(По дате) и внутри содержали время сканирования прям в имени файла.

Код:

FormatDateTime('hhnn_ddmmyyyy',Now);

[Гость форума]

.......................................
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
.......................................
подскажите пожалуста что это значит?
я ничево не отключал
и ещё при запуске avzguard у меня блокируется ехе файлы
пишет у вас нет прав доступа

[Гость форума]

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
подскажите пожалуста что это значит?
я ничево не отключал

Для ясности правильнее было бы сказать не включена пользователем.

и ещё при запуске avzguard у меня блокируется ехе файлы
пишет у вас нет прав доступа

Читаем справку AVZ - так было задумано.

[Гость форума]

спасибо.
а где это включить?

[rubin]

Вкладка "Параметры поиска" в главном окне AVZ

[rubin]

http://virusinfo.info/showthread.php?t=16297

AVZ не видит C:\WINNT\system32\hg543fdg.dll

[Макcим]

DelAutorunByFileName не работает!!!

[psw]

Сегодня попробовал выполнить на работе стандартный скрипт 2. Видно было процесс сканирования на экране, который доходил до конца, но после этого (по видимому в момент создания самого отчета, процент выполненной работы при этом был от 85 до 95 процентов) выскакивало окошко AVZ "Invalid variant type". Эффект был устойчивый. Никакого архива при этом не создавалось.
Проверка Cureit!/AVZ/HJT никаких вирусных проблем не выявила.
AVZ 4.29, операционная система Win2kSP4en (по-видимому, без последующих апдейтов).
Что бы это могло значить? P.S. На домашней Win2kSP4 то же самое. Снимок окна прилагается.

[patq]

Установил avz 4.29. Захотел почитать справку. Она открылась в Help Workshop. Посмотрел файл справки он представлен в формате avz.cnt.
Пожалуйста, посоветуйте как его перевести в avz.hlp

[borka]

Пожалуйста, посоветуйте как его перевести в avz.hlp

Может, я чего-то не понял, но файл avz.hlp лежит рядом с экзешником...

[Макcим]

Кроме того есть on line справка http://z-oleg.com/secur/avz_doc/

[Зайцев Олег]

Сегодня попробовал выполнить на работе стандартный скрипт 2. Видно было процесс сканирования на экране, который доходил до конца, но после этого (по видимому в момент создания самого отчета, процент выполненной работы при этом был от 85 до 95 процентов) выскакивало окошко AVZ "Invalid variant type". Эффект был устойчивый. Никакого архива при этом не создавалось.
Проверка Cureit!/AVZ/HJT никаких вирусных проблем не выявила.
AVZ 4.29, операционная система Win2kSP4en (по-видимому, без последующих апдейтов).
Что бы это могло значить? P.S. На домашней Win2kSP4 то же самое. Снимок окна прилагается.

Стоит обновить базы и проверить еще раз - баг отловлен, код в базах скорректирован.

Добавлено через 55 секунд

DelAutorunByFileName не работает!!!

Как не работает ?

[XL]

Олег, а можно рассказать, в каких случаях AVZ выдает алерт в логе о том, что обнаружена защита от антируткитов? Сегодня попалась одна такая машина, пришлось убить 3 часа своего времени на ее полное излечение в итоге.
Это не тот случай, когда трояном патчится ntoskrnl.exe?

[Зайцев Олег]

Олег, а можно рассказать, в каких случаях AVZ выдает алерт в логе о том, что обнаружена защита от антируткитов? Сегодня попалась одна такая машина, пришлось убить 3 часа своего времени на ее полное излечение в итоге.
Это не тот случай, когда трояном патчится ntoskrnl.exe?

AVZ в основном ругается на защиту в том случае, если зловред блокирует доступ к ntoskrnl.exe, это делается для того, чтобы антируткит не мог сравнить имеющийся на диске ntoskrnl и то, что есть в памяти

[drol]

Олег, я человек не сведущий в антивирусных отчетах. Подскажите, что значит «Прямое чтение C:\Documents and Settings\Олег\AppData\Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Temporary Internet Files\Content.IE5\index.dat” С уважением.