AVZ 4.29

**VV2006** · 21.03.2008, 15:41

Для работы AVZ из-под Windows Preinstallation Environment(WinPE) и BartPE LiveCD удобно использовать RunScanner (http://www.paraglidernc.com/plugins/runscanner.htm). Причём, можно сделать плагин, а можно просто выполнить команду RunScanner.exe /y /t 0 avz.exe для работы на целевой (удалённой=уделанной) системе. Всё, что должно работать для неактивной системы, работает, только не нужно забывать о регистрации необходимых библиотек (autorun0_runscanner.cmd) и размещении в каталоге AVZ файлов: RunScanner.exe, RunScannerDLL.dll (или указании пути к ним в переменных).
Испытывалось при загрузке WindowsXPE с Flash-брелока, вариант с загрузочным CD (DVD), судя по всему, тоже будет работать, но с небольшими неудобствами: сохранять логи и запускать AVZ c актуальными базами придётся на другом (перезаписываемом) носителе.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**psw** · 21.03.2008, 19:53

В процессе сканирования AVZ выдал предупреждение о маскировке процесса по всем выполняемым процессам, включая свой собственный

>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 4 System.exe
>>>> Обнаружена маскировка процесса 456 C:\WINDOWS\system32\smss.exe
>>>> Обнаружена маскировка процесса 496 C:\WINDOWS\system32\csrss.exe
>>>> Обнаружена маскировка процесса 524 C:\WINDOWS\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 568 C:\WINDOWS\system32\services.exe
>>>> Обнаружена маскировка процесса 580 C:\WINDOWS\system32\lsass.exe
>>>> Обнаружена маскировка процесса 724 C:\WINDOWS\system32\ati2evxx.exe
>>>> Обнаружена маскировка процесса 736 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 832 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 868 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 920 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1016 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1148 aswUpdSv.exe
>>>> Обнаружена маскировка процесса 1196 ashServ.exe
>>>> Обнаружена маскировка процесса 1384 C:\WINDOWS\system32\spoolsv.exe
>>>> Обнаружена маскировка процесса 1492 C:\WINDOWS\system32\Drivers\CDANTSRV.EXE
>>>> Обнаружена маскировка процесса 1524 C:\WINDOWS\system32\svchost.exe
>>>> Обнаружена маскировка процесса 1592 mdm.exe
>>>> Обнаружена маскировка процесса 1820 C:\WINDOWS\system32\ati2evxx.exe
>>>> Обнаружена маскировка процесса 1932 C:\WINDOWS\explorer.exe
>>>> Обнаружена маскировка процесса 148 ashMaiSv.exe
>>>> Обнаружена маскировка процесса 200 ashWebSv.exe
>>>> Обнаружена маскировка процесса 484 C:\WINDOWS\system32\alg.exe
>>>> Обнаружена маскировка процесса 112 C:\WINDOWS\system32\WBEM\wmiprvse.exe
>>>> Обнаружена маскировка процесса 908 Amoumain.exe
>>>> Обнаружена маскировка процесса 1580 ashDisp.exe
>>>> Обнаружена маскировка процесса 1632 msmsgs.exe
>>>> Обнаружена маскировка процесса 1688 C:\WINDOWS\system32\ctfmon.exe
>>>> Обнаружена маскировка процесса 1772 MacroMaker.exe
>>>> Обнаружена маскировка процесса 1760 winlirc.exe
>>>> Обнаружена маскировка процесса 6628 IEXPLORE.EXE
>>>> Обнаружена маскировка процесса 6752 C:\WINDOWS\system32\notepad.exe
>>>> Обнаружена маскировка процесса 6860 IEXPLORE.EXE
>>>> Обнаружена маскировка процесса 6924 C:\WINDOWS\system32\wuauclt.exe
>>>> Обнаружена маскировка процесса 6212 qip.exe
>>>> Обнаружена маскировка процесса 7292 avz.exe

Вопросов, собственно, да: а) что бы это могло значить; и б) как это можно побороть?

**Зайцев Олег** · 21.03.2008, 19:57

Сообщение от psw

В процессе сканирования AVZ выдал предупреждение о маскировке процесса по всем выполняемым процессам, включая свой собственный

Вопросов, собственно, да: а) что бы это могло значить; и б) как это можно побороть?

Это очень странно ... я бы советовал:
1. перезагрузиться и повторить опыт
2. Если ситуация повторится, то стоит сделать логи и поискать причину

Причин много - начиная от зловреда и заканчивая проактивкой, которая блокирует работу AVZ

**psw** · 21.03.2008, 20:27

Проактивки там нет, но есть \Windows\System32\alcop.sys, служба которого (alcop - alcop server) не желает удаляться ни под каким видом. Это может быть причиной?

**drongo** · 21.03.2008, 20:35

psw- делайте логи-

http://www.incodesolutions.com/threa...otalcopsys.php

**psw** · 21.03.2008, 20:44

Да если б это было у меня...
У меня есть:
а) набор логов HJT и AVZ, где такого поведения еще нет
б) скрипт AVZ, который был выполнен
в) набор логов после выполнения скрипта, где такое поведение проявилось и ведет себя устойчиво: сохраняется после перезагрузок и проч.

**anton_dr** · 26.03.2008, 11:35

Олег, планируется что-то делать с этим?

Справка для этой программы была создана в формате справки Windows, который использовался в предыдущих версиях Windows и не поддерживается в Windows Vista.

**Зайцев Олег** · 26.03.2008, 12:33

Сообщение от anton_dr

Олег, планируется что-то делать с этим?

Для начала посмотрю, действительно ли она не поддерживается на висте. Если да, то несложно перейти на CHM справку, или выпустить отдельный вариант документации в PDF формате. Оба этих решения тривиальны ...

**tar** · 26.03.2008, 19:55

мне не совсем понятна ситуация с ревизором. Он у всех не работает? Если да, то будут ли в ближайшее время исправления?

**Зайцев Олег** · 26.03.2008, 20:02

Сообщение от tar

мне не совсем понятна ситуация с ревизором. Он у всех не работает? Если да, то будут ли в ближайшее время исправления?

Очень скоро выйдет новый релиз, там все исправлено (расчетная дата - эти выходные)

**Биомеханик** · 26.03.2008, 20:40

Круто, спасибо.

**Биомеханик** · 03.04.2008, 18:50

А куда Олег пропал? В KIS 8 уже ноновведения добавили, а релиза нет.

**Макcим** · 04.04.2008, 11:22

Что случилось с обновлением базы безопасных? Последнее выходило 16 марта.

**Rene-gad** · 06.04.2008, 15:48

Общий привет,
скажите, люди добрые, планируется выпуск версии радактора скриптов для нерусских систем? У меня одни ??????????????????? на всех кнопках....

**Зайцев Олег** · 06.04.2008, 15:53

Сообщение от Rene-gad

Общий привет,
скажите, люди добрые, планируется выпуск версии радактора скриптов для нерусских систем? У меня одни ??????????????????? на всех кнопках....

Планируется - такая версия выйдет через 60 секунд (т.е. она уже вышла, но на сайте в процессе формирования анонс и ссылки). Через 1-2 минуты можно качать

**Макcим** · 06.04.2008, 16:03

Можно узнать список изменений?

**Зайцев Олег** · 06.04.2008, 16:40

Сообщение от Maxim

Можно узнать список изменений?

Мультиязычный интерфейс, поддержка всех новых команд скрипт-языка до версии 4.30 включительно

**Stec** · 06.04.2008, 17:32

Дайте пожалуйста адрес, где качать последнюю версию, Здесь http://z-oleg.com/secur/avz/download.php 4.29.09 от 12.12.07 в правилах тоже.

**Jef239** · 06.04.2008, 17:36

Ты не понял, обновился только редактор скриптов. http://z-oleg.com/avz_se.zip

**Rene-gad** · 06.04.2008, 18:44

Сообщение от Зайцев Олег

Планируется - такая версия выйдет через 60 секунд

Спасибо. Надо было мне месяца на 3 раньше спросить

Хорошо бы еще узнать, что тут от непосвященных сокрыто

AVZ 4.29

Опции темы

Ваши права в разделе