AVZ 3.10 - предлагаю потестировать и обсудить

[Зайцев Олег]

Win2ksp4
Запускаю avz под ЮЗЕРОМ (как текущий пользователь) - выдает:Так же сидя под ЮЗЕРОМ запускаю как АДМИНИСТРАТОР - все чисто, ничего не находит.

Получаетя проверку надо делать под каждым пользователем?

Сканер AVZ проверяет все (хотя пускать его стоит из под админа). А вот мониторинг запущенных процессов, поиск руткитов, кейлоггеров ... может различаться - некий процесс X может стоять в автозапуске у юзера (т.е. при входе под юзером этот процесс стартует, при входе админом или другим юзером - нет).
В данном случае так и получилось - CursorXP, Stardock и примочки от Logitech явно проинсталлены под юзером - при входе админом они не стартуют.
Файлы:
C:\Program Files\Stardock\Object Desktop\wbhelp.dll
C:\Program Files\Stardock\Object Desktop\WBlind.dll
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll
C:\Program Files\CursorXP\CurXP0.dll
стоит прислать мне на [email protected] для включения в базы безопасных объектов

АВЗ ругается на /Messenger PLus! 3/MsgPlusH.dll, считает этот файл кейлоггером. Вам его прислать на проверку или можно просто игнорировать эти предупреждения?

[kps]

АВЗ ругается на /Messenger PLus! 3/MsgPlusH.dll, считает этот файл кейлоггером. Вам его прислать на проверку или можно просто игнорировать эти предупреждения?

Версия последняя (3.15) ? Если да, то присылайте его на [email protected]
Если файлик безопасный, то, скорее всего, будет добавлен в базу чистых файлов.

Версия 3.15, точно. Я зазиповала как велено, но даже зип получается 1 мег. Можно ли послать такой большой файл? Жду вашего разрешения

Ещё сегодня Кашпер выловил /system32/consys99.exe говорит, что это Trojan-Downloader.Win32.small.amr , а АВЗ его не обнаружил. Сам вирус зазиповать чтобы послать вам в коллекцию не удалось, нет доступа почему-то до него, пришлось просто удалить.

[Зайцев Олег]

Версия 3.15, точно. Я зазиповала как велено, но даже зип получается 1 мег. Можно ли послать такой большой файл? Жду вашего разрешения

1 Мб - это не много для ящика [email protected], так что можно присылать, я внесу файл в базы известных объектов и AVZ не будет на него ругаться

[HATTIFNATTOR]

В поиске файла на диске - "дата создания" и "дата изменения" принимает дату вида 6498198.6494948.год .Год проверяет корректно.

[Зайцев Олег]

В поиске файла на диске - "дата создания" и "дата изменения" принимает дату вида 6498198.6494948.год .Год проверяет корректно.

Это глюк - буду сейчас ловить.
Интересная вещь - в базы AVP наконец-то включили Spy.WildTangent (он упоминался в данном обсуждении), правда AVP видет примерно одну разновидность из 20.

[Casper]

Привет Олег,
Вот вырезка из лога AVZ:

"5. Поиск клавиатурных шпионов (Keylogger)
>>> C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll>>> Нейросеть: файл с вероятностью 98.75% похож на типовой перехватчик событий клавиатуры/мыши"

Как насчет того, чтобы внести LvHook.dll в список доверенных? Мне надо его прислать?

[Зайцев Олег]

Привет Олег,
Вот вырезка из лога AVZ:

"5. Поиск клавиатурных шпионов (Keylogger)
>>> C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll --> С высокой степенью вероятности обнаружен Keylogger или троянская DLL
C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\LvHook.dll>>> Нейросеть: файл с вероятностью 98.75% похож на типовой перехватчик событий клавиатуры/мыши"
Как насчет того, чтобы внести LvHook.dll в список доверенных? Мне надо его прислать?

Да, его однозначно нужно вносить в базы правильных - если не трудно, пришли его мне ... у меня в базе их уже штук десять, не менее (но иных путей нет - LvHook.dll является классическим кей-хуком, поэтому единственный путь задавить срабатывания - это поместить его в базу правильных файлов)

[Geser]

Что-то давно ничего новенького не было (в смысле обновлений АВЗ)

[Iceman]

Что-то давно ничего новенького не было (в смысле обновлений АВЗ)

;D Поддержамс. Хотя всё работает, вроде.

[agnec]

Олег грозился 3.16 выложить, но пока пусто

[Iceman]

Олег грозился 3.16 выложить, но пока пусто

Да мы так, для оживляжу ;D

[Зайцев Олег]

Олег грозился 3.16 выложить, но пока пусто

3.16 на штатном месте (10878 сигнатур, 1 нейропрофиль, 23 микропрограммы лечения, 180 микропрограмм эвристики и 28825 подписей безопасных файлов)

Никаких интересных изменений в самом AVZ почти нет - руки не дошли, но тем не менее:
1. Добавлено еще 20 микропрограмм эвристики - т.е. шансы поиска неизвестных разновидностей зверей возрастают (одна микропрограмма = 1 семейство)
2. Разблокирован список автозапуска - там пока отображается голая таблица из того, что гарантировано работает. Это так, первая проба пера ...
3. В базы помещены новые МП лечения - в частности убивалка look2me и т.п.
4. Пофиксен ряд мелких багов, в частности с датой в поиске файлов
5. В базы безопасных попала очередная сотня файлов ... - а в базы сканера все, что пробегало на форуме за неделю + еще куча свежего зверья

[agnec]

дождались
дружно бежим качать

[Geser]

XP SP2 при клике на список автозапуска вылетает ошибка "invalid class string"

[Iceman]

Хмммм, а у меня нормально. Правда XP SP2- русская (Не MUI)/

[Geser]

Хмммм, а у меня нормально. Правда XP SP2- русская (Не MUI)/

А у меня нерусская

[kps]

У меня архив не распаковывается, Winrar пишет
! F:\avz-betta3.zip: The archive is corrupt
а Powerarchiver ругается так:
missing bytes in zipfile
Zip file structure invalid

[Iceman]

У меня архив не распаковывается, пишет
! F:\avz-betta3.zip: The archive is corrupt

А почему avz-betta3.zip? Должно быть avz-betta2.zip
По кнопочке справа, в разделе ссылки, спасибо Geser'у