AVZ 4.32

[Зайцев Олег]

1. Данный отчет при экспресс проверке АВЗ при запуске компьютера в лок.сети (дважды).
Скопировал себе эту папку - файл isuspm.exe проходит по базе безопасных.

2. Из 2х файлов карантина - 2 опасные.
А "В очереди на добавление в базу безопасных:
высокий приоритет: 1"
Или это просто такое выражение у КХ ?

2. По поводу п.п. 2 всеравыно ничего не понял Машина пишет отчет по поводу того, что произошло ... а произошло то, что 2 файла проверены и детектятся, 1 из них имеет высокий приоритет обработки (это autorun.inf), так как он похож на легитимный ... Дальше это же "разностная машина" - каждое событие имеет некий потенциал, и зловредность в итоге конечно перевесит

[Vadim_SVN]

Для проверки машин в локалке имеем следующий скрипт:

Код:

// Строка запуска
// \\dbase\check\avz\avz.exe Priority=-1 nq=Y HiddenMode=3 Script=\\dbase\check\avz\lanscan.avz
// Version 1.2 - 02.03.2010

var
 LastScanDate, CurrentDate : string;
begin
 // Проверка имен серверов - блокировка запуска
 if LowerCase(GetComputerName) = 'dc' then ExitAVZ;
 if LowerCase(GetComputerName) = 'slave' then ExitAVZ;
 if LowerCase(GetComputerName) = 'dbase' then ExitAVZ;
 if LowerCase(GetComputerName) = 'imap' then ExitAVZ;
 if LowerCase(GetComputerName) = 'ts1' then ExitAVZ;
 if LowerCase(GetComputerName) = 'ts2' then ExitAVZ;
 if LowerCase(GetComputerName) = 'ts3' then ExitAVZ;

 // Блокировка повторного запуска в течении дня
 LastScanDate := RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\AVZ', 'LastScanDate');
 CurrentDate  := DateToStr(Now);
 if LastScanDate = CurrentDate then begin
  ExitAVZ;
  exit;
 end;
 RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\AVZ', 'LastScanDate', CurrentDate);

 // Пауза на 50 сек, чтобы не мешать автозагрузке
 Sleep(50);

 // Настройка AVZ
 SetupAVZ('UseQuarantine=N'); // Выключить карантин
 SetupAVZ('EvLevel=3'); // Эвристика на максимум
 SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен
 SetupAVZ('DelVir=N'); // Выключить лечение
 SetupAVZ('RootKitDetect=Y'); // Включение детектора RootKit и перехватчиков API
 SetupAVZ('ModeVirus=0'); // Режим для вирусов 0-только отчет
 SetupAVZ('ModeAdvWare=0'); // Режим для AdvWare 0-только отчет
 SetupAVZ('ModeSpy=0'); // Режим для Spy и SpyWare 0-только отчет
 SetupAVZ('ModePornWare=0'); // Режим для PornWare и Dialer 0-только отчет
 SetupAVZ('ModeRiskWare=0'); // Режим для RiskWare 0-только отчет

 // Активирование сторожевого таймера на 15 минут
 ActivateWatchDog(60 * 15);

 // Запуск сканирования
 RunScan;

 // Сохранение протокола
 SaveLog(GetAVZDirectory + '\LOG\' + GetComputerName + '.txt');

 // Найден вредонос?
 if (GetSuspCount > 0) or (GetDetectedCount > 0) then begin
  // Выполнение исследования системы
  ExecuteSysCheck(GetAVZDirectory + '\LOG\' + GetComputerName + '_syscheck.htm');
  // Отправляем лог администратору
  SendEmailMessage('mail.domain', 'avz', 'administrator@domain',
   'AVZ email alert from ' + GetComputerName,
   'Отчет с компьютера "' + GetComputerName + '" ' + #13 +
   'Подозрительные обьекты = ' + InttoStr(GetSuspCount) + #13 +
   'Вредоносные файлы = ' + InttoStr(GetDetectedCount) + #13 +
   'Этот же лог доступен на \\dbase\check\avz\LOG' ,
   false, '', '',
   GetAVZDirectory + '\LOG\' + GetComputerName + '_syscheck.htm', '', '',  
  );
 end;
 
 // Завершение работы AVZ
 ExitAVZ;
end.

Запускаем АВЗ, выполнить скрипт, загружаем этот скрипт. Выполнить.
Открываем блокнот. Ждем.
По диспетчеру задач видим, что АВЗ начал проверку и в блокноте имеем следующую запись:

Код:

testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest

Почему такое происходит?
Вроде бы как ничего страшного, НО т.к. скрипт спит 50 секунд, чтобы не мучать автозагрузку, то пользователь может начать работу с какими-либо программами (типа 1С и т.д.). На них не проверял, но будет мало приятного если эта строка попадет туда.

[Зайцев Олег]

Почему такое происходит?
Вроде бы как ничего страшного, НО т.к. скрипт спит 50 секунд, чтобы не мучать автозагрузку, то пользователь может начать работу с какими-либо программами (типа 1С и т.д.). На них не проверял, но будет мало приятного если эта строка попадет туда.

Это работает антикейлоггер - он изучает поведение попзреваемых на кейдеггре перехватчиков, симулируя клавиатурный ввод. При AVZ запуске скриптом типа этого необходимо просто выключить антикейлоггер и все будет нормально

[Vadim_SVN]

Спасибо, Олег.
Строка:

Код:

 SetupAVZ('KeyloggerSearch=N'); // Выключаем! поиск клавиатурных шпионов и троянских DLL.

Решает данную проблему

[еvg_zosk]

ExecuteStdScr(7);

Имеет ли какие-то функциональные отличия от 2 и 3 стандартного скрипта (кроме попытки автоматического обновления баз).
И в win 7 не может завершить сканирование... валится с ошибкой.

Код:

Сигнатура проблемы:
  Имя события проблемы:	APPCRASH
  Имя приложения:	avz.exe
  Версия приложения:	4.32.0.0
  Отметка времени приложения:	2a425e19
  Имя модуля с ошибкой:	advapi32.dll
  Версия модуля с ошибкой:	6.1.7600.16385
  Отметка времени модуля с ошибкой:	4a5bd97e
  Код исключения:	c0000096
  Смещение исключения:	00022a53
  Версия ОС:	6.1.7600.2.0.0.256.1
  Код языка:	1049
  Дополнительные сведения 1:	c396
  Дополнительные сведения 2:	c396f6d0bf25ca718fa81ec7f959a449
  Дополнительные сведения 3:	c396
  Дополнительные сведения 4:	c396f6d0bf25ca718fa81ec7f959a449

[Zeroes]

avz 4.32 with last update
под Win7 выдаёт:

>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)

Вообще такое выдавать под Win7 не корректно так как эту службу нельзя остановить/задизаблить стандартными средствами OS.

[AndreyKa]

В теме http://virusinfo.info/showthread.php?t=72883 AVZ обнаруживает 8 ошибок в LSP.

Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 8

Похоже, это глюк из-за экзотических настроек: GPRS + SatGate через SlonAx3G.

[UFANych]

При проверке AVZ в логе написал про подозрение на скрытую загрузку через APPInit_dlls, но в менеджере автозагрузки этого не было, и в кнопке лечения в логе тоже. Вычищал вручную. Это такое специально или бага?

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\Cursors\\size1_l.cur:exaSnrGYA9hVpOFAr+Qy"

Есть предложения по "мастеру поиска..."
1 - добавить проверку политик (и, возможно, сравнение с определёнными в файлах политик):

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{6E940585-1BFA-4AAC-AF57-181005F0C4D7}]
"ItemData"="C:\\Program Files\\AVG"
"SaferFlags"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{AA3024F3-F853-4664-A38F-D89E653B6539}]
"ItemData"="C:\\Program Files\\AVG\\"
"SaferFlags"=dword:00000000

При этом ядро антивируса работало, а user interface не запускался. И что-то наверное не блокировал....

2 - назвать это мастер мастером "обнаружения и устранения проблем" А то "мастер поиска ... проблем" чуть-чуть двусмысленно.

И напоследок, в эвристическую проверку - стандартные MS-службы - сравнивать список запущенных служб со списком тех, у кого установлен флаг запуска "Авто". Это как один из симптомов целостности среды.

[Jam500]

Всем доброго времени суток.
Может я немного не по теме, но...
мой комп покусали вирусы и пропало абсолютно всё с рабочего стола. Прочитал в нете что можно вылечить АВЗ, скачал, запустил avz.exe, а вместо слов только цифры и вопросительные знаки...
HELP!!!

[gjf]

Jam500, добро пожаловать в раздел Помогите - создавайте тему там и Вам помогут.

[polar_owl]

Если у пользователя ОС Vista или 7, требуется делать логи по правой кнопке мыши "с правами администратора". Насколько я знаю, в логах никак не отображается, были ли они сделаны таким образом. Там в любом случае пишется, если конечно не совсем ограниченная учетка, что АВЗ работает с правами администратора.
Будет ли какой-нибудь функционал, чтобы было видно каким образом делались логи?

[Rampant]

А в чём различие стандартных скриптов №3 и №7?

[Гриша]

А в чём различие стандартных скриптов №3 и №7?

В автоапдейте и перезагрузке.

[Rampant]

В автоапдейте и перезагрузке.

опять не понял, а почему бы не оставить скрипт №7, без указания для кого? я то думал что отличия принципиальные, а тут...

[Гриша]

опять не понял, а почему бы не оставить скрипт №7, без указания для кого? я то думал что отличия принципиальные, а тут...

Саппорт ЛК специально просил Олега добавить новый стандартный скрипт, который идентичен 3 стд.скрипту, но выполняет автоматическое обновление баз и в конце исследования выполняет перезагрузку, поэтому и отметка стоит.

[Rampant]

Последнее время стали обращаться юзеры с подозрением на вири, после сканирования АВЗ, все файлы имеют цифровые подписи Майкрософт, что это может быть?

7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\sfcfiles.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\sfcfiles.dll)
>>> C:\WINDOWS\system32\comres.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\comres.dll)
>>> C:\WINDOWS\system32\msdtc.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\msdtc.exe)
>>> C:\WINDOWS\system32\Drivers\tcpip.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\Drivers\tcpip.sys)

Файл сохранён как 100315_213006_virusinfo_cure_4b9e7cae460d3.zip
Размер файла 1721018
MD5 e2678ed3b4594e86cd5885aec1c1428c

[Зайцев Олег]

Последнее время стали обращаться юзеры с подозрением на вири, после сканирования АВЗ, все файлы имеют цифровые подписи Майкрософт, что это может быть?

Эти файлы как раз не имеют никаких подписей ... если системный файд проходит по базе чистых или опознается MS как "свой" - предупредения не будет. А вот если файл патчен вирусом или какой-то бестолковой украшалкой - будет аларм

[Rampant]

Ок, они не проходят по базе Майкрософт, но и не являются злонамеренными, и мне непонятно почему рюшки, должны кого то напрягать?

[pig]

А откуда заранее известно, что там именно рюшки, а не спамбот?

[Зайцев Олег]

Ок, они не проходят по базе Майкрософт, но и не являются злонамеренными, и мне непонятно почему рюшки, должны кого то напрягать?

А потому, что никому заранее неизвестно, что это это - украшалка системы, подмена файла зловредом, его злонамеренный патч, заражение файла инфектором ... На нормальных системах такие сообщения не появляются