Да, у AVZ есть два механизма:Сообщение от santy
1. Системное отложенное удаление - оно разное для W9x и NT/W2K/XP, но идея одинакова - файл прописывается в системе на удаление в ходе очередной перезагрузки;
2. Переименование файла - т.е. некий DLL может переименоваться в BAK - при следующей перезагрузке система не найдет файл и он не будет загружен, что позволит его удалить
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я разместил обновление, версия 3.17, изменения:
1. В базу добавлено более 1500 разновидностей новых зверей (выходные прошли с пользой);
2. Добавлено штук 20 микропрограмм эвристики
3. Доработан антикелоггер, выправлен ряд его мелких глюков
4. Расширена база безопасных объектов
5. В AVZ появилась возможность проверить отдельный файл по базе безопасных объектов - см. меню "Сервис".
Менеджер автозапуска у меня по прежнему не работает
А чистые файлы не добавлялись? А то то что я высылал вроде по прежнему не зелёное.
До менеджера автозапуска руки пока не дошли, а чистые файлы потихоньку добавляются с каждым апдейтом ... но добавлены еще не все.Менеджер автозапуска у меня по прежнему не работает
А чистые файлы не добавлялись? А то то что я высылал вроде по прежнему не зелёное.
Чуть чуть критики
1) Надо бы писать в протокол, что файлик будет удален после перезагрузки. У меня AVZ хоть и удалил зверя после перезагрузки, но явно об этом не предупредил - написал только "ошибка удаления" и лишь в конце протокола, что для завершения лечения нужна перезагрузка, а хотелось бы так:
2. Проверка памяти
Количество найденных процессов: 17
Количество загруженных модулей: 154
e:\windows\system\mimtcore.dll>>>>> Вирус !! AdvWare.MediaBack.a ошибка удаления //Вот тут надо бы писать "будет удален после перезагрузки"
Проверка памяти завершена
2) По-моему для кнопочки "Просмотр протокола" лучше подошло бы название "Действия над объектами" например. Т.к. название "просмотр протокола" не совсем правильно отражает назначение этой кнопки, протокол и так виден в главном окне утилиты. Да и картинку к этой кнопке я бы сменил на более подходящую по значению.
Было бы неплохо, если бы в протоколе AVZ аналогично Hijack писались данные об ОС и IE.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
в hijackthis отчет сразу перенаправляется в файл... может быть, имеет смысл по завершении сканирования выводить диалог для сохранения протокола в файл... или по кнопочке открывать уже сохраненный файл.
santy
Так есть же кнопочка "Сохранить протокол"
так это ж надо на кнопочку еще нажать...хотя, если несколько раз выполнять сканирование, тогда уж действительно лучше один раз сохранить протокол...
Так обсуждалось уже. А если сканирование прервется? Олег вроде обещал добавить опцию сразу писать протокол.
Все версии включая последнюю не работают с ReadOnly сетевого ресурса.
При попытке начать сканирование выдается ошибка о том, что невозможно открыть для записи main.avz.
А ... понял, AVZ открывает базы по дефолту, на чтение/запись. Я переделаю, сделаю режим открытия "только чтение", и проблема исчезнет
Во-первых, большое спасибо за замечательную программу.
Во-вторых, у меня есть несколько вопросов по работе программы.
1. Отслеживается ли подмена msgina.dll? Я уже 2 раза сталкивался с такими вещами (правда, это было до моего знакомства с AVZ). В справке об этом ничего не написано.
2. Диспетчер процессов: Я так понимаю, процессы помечаются зеленым цветом, если известны как "безопасные". А как делается проверка на безопасность? Вычисляется и сравнивается MD5, или как-то иначе?
3. Какие файлы добавляются в базу безопасных? Только те, для которых возможны ложные срабатывания эвристики, или, возможно, и другие тоже?
Вот, допустим, я смотрю список сервисов, и нахожу там помеченный зеленым svchost.exe. После этого смотрю список используемых им DLL, и вижу, что далеко не все DLL помечены как безопасные. И из этого делаю вывод, что сам сервис также не является безопасным. А возможность svchost-а загружать произвольные (точнее, оформленные должным образом) DLL, думаю, ни для кого не является секретом.
Может быть, стоит добавлять в базу безопасных также наиболее часто используемые системные файлы (те же ntdll.dll, kernel32.dll и т.п.)? Вот только размер базы сильно вырастет
Думаю, скоро у меня появятся новые вопросы, а пока - еще раз спасибо.
1. Подмена msgina.dll на автомате не проверяетсяВо-первых, большое спасибо за замечательную программу.
Во-вторых, у меня есть несколько вопросов по работе программы.
1. Отслеживается ли подмена msgina.dll? Я уже 2 раза сталкивался с такими вещами (правда, это было до моего знакомства с AVZ). В справке об этом ничего не написано.
2. Диспетчер процессов: Я так понимаю, процессы помечаются зеленым цветом, если известны как "безопасные". А как делается проверка на безопасность? Вычисляется и сравнивается MD5, или как-то иначе?
3. Какие файлы добавляются в базу безопасных? Только те, для которых возможны ложные срабатывания эвристики, или, возможно, и другие тоже?
Вот, допустим, я смотрю список сервисов, и нахожу там помеченный зеленым svchost.exe. После этого смотрю список используемых им DLL, и вижу, что далеко не все DLL помечены как безопасные. И из этого делаю вывод, что сам сервис также не является безопасным. А возможность svchost-а загружать произвольные (точнее, оформленные должным образом) DLL, думаю, ни для кого не является секретом.
Может быть, стоит добавлять в базу безопасных также наиболее часто используемые системные файлы (те же ntdll.dll, kernel32.dll и т.п.)? Вот только размер базы сильно вырастет
Думаю, скоро у меня появятся новые вопросы, а пока - еще раз спасибо.
2. Проверка на безопасность включает проверку размера файла и расчет/сравнение полной контрольной суммы (алгоритм мой собственный, не MD5 (MD5 сумма очень громоздкая)). Контроль размера повышает надежность и ускоряет проверку - нет смысла сравнивать CRC при явном расхождении размера.
3. В базы безопасных добавляются любые файлы, которые могут находиться на диске или в памяти и являются безопасными (в том числе естественно и ntdll.dll, kernel32.dll ...)- в первую очередь это конечно системные файлы + распространенные программы. Плюс файлы, на которые ругается эвристик (но таких очень мало - сейчас их около 300 штук при размере базы около 30000 - 0.1%).
При текущем формате база размером 1 МБ сможет хранить описание около 210 тыс. безопасных файлов. Просто у меня под рукой есть только русскоязычные версии W2K/XP, да и в базы попали еще не все разновидности файлов (разные апдейты, SP ... - основные я отследил, но это явно не все)... но наполнение базы идет постоянно, рост ее размера меня не пугает - такая база очень полезна при поиске троянов и прочих зверей - можно на автомате отсекать извествные и заранее безопасные файлы.
Здравствуйте. У меня AVZ тоже нашел в папке Avasta keylogger c вероятностью 99%. Имя файла avcommex.dll. Высылаю его Вам.
Спасибо - после анализа я загоню его в базу безопасных
Здравствуйте,ОЛЕГ.Огромное СПАСИБО за программу! Есть два маленьких вопроса:где взять последнюю версию AVZ и WLHooks.dll -это действительно троян или ошибка AVZ.В компе я "ЧАЙНИК",потому прошу извинить за возможную не корректность вопросов
Для скачивания AVZ на VirusInfo в правой панели есть ссылка "AVZ", она ведет на актуальную страницу закачки. Начет WLHooks.dll не уловил, на нее AVZ ругнулся как на кейлоггер ?? Если да, то ее нужно прислать сюда: [email protected] с фрагментом лога. Судя по имени - это от мышки LogitechЗдравствуйте,ОЛЕГ.Огромное СПАСИБО за программу! Есть два маленьких вопроса:где взять последнюю версию AVZ и WLHooks.dll -это действительно троян или ошибка AVZ.В компе я "ЧАЙНИК",потому прошу извинить за возможную не корректность вопросов
------------
Теперь новость:
Вышел AVZ 3.18 (на штатном месте): 12553 сигнатуры, 1 нейропрофиль, 26 микропрограмм лечения, 211 микропрограммы эвристики, 28926 подписей безопасных файлов
В новой версии существенная переделка антируткита - новые методы диагностики и противодействия. Менеджер процессов теперь ловит маскирующиеся процессы, в нем появился новый столбец - "Маскировка", в которой отмечается уровень маскировки процесса. Варианты:
"нет"-процесс виден любым способом,
"нет (NativeAPI)" - процесс не виден через PSAPI, но виден через API из ntdll.dll - это как правило не опасно, ряд системных процессов не виден через PSAPI,
"есть" (UserMode.RootKit !) - процесс маскируется и не виден ни одним из UserMode API. Вот это уже опасно, т.к. имеет место явная маскировка процесса. Такие процессы выделяются красным цветом.
В старых версиях (3.11 ... 3.17) с антируткитом обнаружилась неполадка - из-за расширений базы антируткита выключились проверки всех библиотек, кроме kernel32l.dll (именно поэтому в ветке http://virusinfo.info/index.php?boar...d=875;start=20 применение AVZ не позволило задавить обычно HackerDefender). В 3.18 все это исправлено и работает ...
В диспетчере процессов названия процессов, определенных как безопасные (т.е. выделяемых зелёным цветом) при наведении на них курсора практически не читаются, так как зелёные буквы на синем фоне неразличимы. В соседних столбцах (PID, описание и др.) всё читается нормально – там зелёный шрифт при наведении курсора меняется на белый.
В диспетчере сервисов такая же ошибка для любого столбца. Исправьте, если можно.
версия 3.18
поставил все галки. запустил подное сканирование с лечением диска С:
сначала все шло нормально. пара пойманных зверьков отправилась в infected. еще пара подозрительных отправилась в карантин. а потом случилось страшное... при проверке толи карантина (наверно его), толи заразных, прогу зациклилоона находила подозрительного, кидала его в карантин, тут же находила только-что появившийся файл и снова кидала его в карантин и так без конца
это только у меня такое приключилось или в программе глюк ?
Ваши права в разделе
