AVZ 3.10 - предлагаю потестировать и обсудить

[egik]

попробовал, вот лог, жить буду

Протокол антивирусной утилиты AVZ версии 3.18
Сканирование запущено в 12.04.2005 2:27:56
Загружена база: 12553 сигнатуры, 1 нейропрофиль, 26 микропрограмм лечения
Загружены микропрограммы эвристики: 211
Загружены цифровые подписи системных файлов: 28926
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (486) перехвачена, метод ProcAddressHijack.GetProcAddress ->79489FC4<>794501D5
Функция kernel32.dlloadLibraryExA (487) перехвачена, метод ProcAddressHijack.GetProcAddress ->79489FD3<>79450296
Функция kernel32.dlloadLibraryExW (48 перехвачена, метод ProcAddressHijack.GetProcAddress ->79489FF1<>794504FD
Функция kernel32.dlloadLibraryW (489) перехвачена, метод ProcAddressHijack.GetProcAddress ->79489FE2<>79450286
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=07F7E0, RVA=07F7E0)
2. Проверка памяти
Количество найденных процессов: 22
Количество загруженных модулей: 339
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 7 TCP портов и 1 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 12428, найдено вирусов 0
Сканирование завершено в 12.04.2005 2:35:05
Сканирование длилось 00:07:08

[Зайцев Олег]

версия 3.18
поставил все галки. запустил подное сканирование с лечением диска С:
сначала все шло нормально. пара пойманных зверьков отправилась в infected. еще пара подозрительных отправилась в карантин. а потом случилось страшное... при проверке толи карантина (наверно его), толи заразных, прогу зациклило она находила подозрительного, кидала его в карантин, тут же находила только-что появившийся файл и снова кидала его в карантин и так без конца
это только у меня такое приключилось или в программе глюк ?

Это хитрый баг, который я раза три фиксил и он вылезает под разным видом. Идея его проста - AVZ начинает лечить собственный карантин и Infected, последствия - зацикливание .... хотя программно у него есть блокировка на проверку своей папки и блокировка внесения в карантин объекта, уже находящегося в карантине ... продолжим охоту на баг
Posted by: Участковый
Я пробовал подбирать цвета - всякий раз коряво выходит ... я вот думаю на безопансных файлах цвет самого маркера с синего на зеленый поменять - может, так будет более читабельно

[RobinFood]

Странный перехватчик API обнаружился:
Функция kernel32.dll:GetWindowsDirectoryW (413) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C57C3FE<>7C592CE2

Больше ничего не перехвачено, а вызов этой функции в тестовой программе возвращает то, что и должен возвращать. Что бы это могло быть?

[Зайцев Олег]

Странный перехватчик API обнаружился:
Функция kernel32.dll:GetWindowsDirectoryW (413) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C57C3FE<>7C592CE2

Больше ничего не перехвачено, а вызов этой функции в тестовой программе возвращает то, что и должен возвращать. Что бы это могло быть?

Возможно два варианта:
1. В системе несколько версий kernel32.dll и загружена не штатная версия, что лежит в windows/System. Стоит дать поиск по диску - интересно, сколько их найдется. Я как-то реально видел такой случай ...
2. Функция действительно перехвачена. Правда странно, зачем ее прехватывать (тем более если это единственная перехваченная функция).

[Shu_b]

[quote author=Зайцев Олег link=board=28;threadid=857;start=160#msg10349 date=1113281033]
Posted by: Участковый
Я пробовал подбирать цвета - всякий раз коряво выходит ... я вот думаю на безопансных файлах цвет самого маркера с синего на зеленый поменять - может, так будет более читабельно
[/quote]
Может всё таки выделение ячейки сделать голубым цветом?

[RobinFood]

Действительно, скорее всего именно первый вариант (поиск нашел 12 штук ;D). Если мне не изменяет память, то после установки последних патчей этот комп просил ребута, а ему не позволил. Наверняка один из тех патчей менял kernel32.dll, поэтому и возникла такая ситуация. Большое спасибо за разъяснение.

[santy]

Протокол антивирусной утилиты AVZ версии 3.18
Сканирование запущено в 13.04.2005 14:23:01
Загружена база: 12553 сигнатуры, 1 нейропрофиль, 26 микропрограмм лечения
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 26 TCP портов и 23 UDP портов
>>> Опасно: Порт 4899 TCP - Remote Admin (R_SERVER.EXE)
>>> Опасно: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (SVCHOST.EXE)
>>> Опасно: Порт 15000 TCP - Backdoor.NetDemon (c:\program files\messenger\msmsgs.exe)
...
Добрый день!
Действительно ли данный "messenger" представляет опасность, или это предупреждение относительно открытого порта?

[Iceman]

Коллеги, проконсультируйте, пожалуйста, куда дальше копать:
Протокол антивирусной утилиты AVZ версии 3.18
Сканирование запущено в 13.04.2005 11:01:19
Загружена база: 12553 сигнатуры, 1 нейропрофиль, 26 микропрограмм лечения
Загружены микропрограммы эвристики: 211
Загружены цифровые подписи системных файлов: 28926
Режим эвристического анализатора: Средний уровень эвристики
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=082480, RVA=082480)
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 345
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск клавиатурных шпионов (Keylogger)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 9 TCP портов и 10 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 61790, найдено вирусов 0
Сканирование завершено в 13.04.2005 11:23:57
Сканирование длилось 00:22:38

[Geser]

Коллеги, проконсультируйте, пожалуйста, куда дальше копать:

А в чем проблема?

[Iceman]

У парня какие-то траблы с ноутом - начали разбираться. Всё как обычно: тормозимс, неработаемс и т.д. Сейчас выясняю точно.

[Iceman]

Уфффф, отбой тревоги. Друг поставил SP2 поверх установленной винды - мне не сказал сразу. известная трабла. А затем блю-тушные драйвера клавы и мыши - видимо они и видны в логе.
всё понятно - каспер унего стоит:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Перехватчик kernel32.dlloadLibraryA (57 нейтрализован
>>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Перехватчик kernel32.dlloadLibraryExA (579) нейтрализован
>>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Перехватчик kernel32.dlloadLibraryExW (580) нейтрализован
Функция kernel32.dlloadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Перехватчик kernel32.dlloadLibraryW (581) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Эталонная KeServiceDescriptorTable найдена (FC=082480, RVA=082480)
2. Проверка памяти
Количество найденных процессов: 27
Процесс c:\program files\abbyy finereader 7.0 professional edition\abbyynewsreader.exe может работать с сетью (wininet.dll,urlmon.dll,rasapi32.dll,ws2_32.dll,ws 2help.dll,netapi32.dll,tapi32.dll)
Процесс c:\program files\ahead\incd\incd.exe может работать с сетью (netapi32.dll)
Процесс c:\program files\hewlett-packard\digital imaging\bin\hpohmr08.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll)
Процесс c:\program files\kaspersky lab\kaspersky anti-hacker\kavpf.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\hewlett-packard\digital imaging\bin\hposts08.exe может работать с сетью (netapi32.dll,ws2_32.dll,ws2help.dll)
Процесс c:\program files\rls2.5\rls.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\program files\the bat!\thebat.exe может работать с сетью (ws2_32.dll,ws2help.dll,netapi32.dll,wininet.dll)
Процесс c:\program files\icq\icq.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll,wininet.dll,urlmon.dll)
Процесс c:\windows\system32\hpzipm12.exe может работать с сетью (ws2_32.dll,ws2help.dll)
Процесс c:\documents and settings\ДимаН\Мои документы\Проги\avz-betta2\avz.exe может работать с сетью (ws2_32.dll,ws2help.dll,rasapi32.dll,netapi32.dll, tapi32.dll,wininet.dll)
Количество загруженных модулей: 329

[Зайцев Олег]

Маскировка процессов не обнаруживается, это скорее всего не руткит. Единственный момент - стоит посмотреть список процессов, проанализировать, что там неопознанного висит ...

[Iceman]

Хорошо, сделаем, но уже вечером.

[Geser]

Кстати, может стоит позицианировать АВЗ по другому? Не антиспайварь (антивирус), а, скажем, интегрированная среда для поиска и уничтажения вредоносных программ.
На английском вообще класно будет звучать - Antimalware toolkit

[Iceman]

Кстати, к этому всё идёт - "и это правильно" (с)

[Geser]

И вообще, когда будет англоязычная версия. Я нашему сисадмину показал возможности, и он теперь ждёт не дождётся перевода на английский. Кастати, и АПС тоже
Хотя бы меню перевести, остальное уже не так важно.

[Geser]

Перевести на английский, довести до ума менеджер автозагрузки и можно спокойно потеснить HijackThis. И вообще, насколько я знаю подобного софта на сегодня нет. Так что если превлечь еще кого-нибудь к работе над программой, вполне можно сделать коммерческий продукт который будет пользоваться немалым спросом.

[Зайцев Олег]

Перевести на английский, довести до ума менеджер автозагрузки и можно спокойно потеснить HijackThis. И вообще, насколько я знаю подобного софта на сегодня нет. Так что если превлечь еще кого-нибудь к работе над программой, вполне можно сделать коммерческий продукт который будет пользоваться немалым спросом.

Приоритеты - сначала довести до ума, а потом переводить

[Sanja]

я кстати согласен... перевести и зделать для америкосов по уене скажем 9.90. денег не много cтоит занчит платить будут

[Зайцев Олег]

Обновился AVZ - версия 3.19 - 12870 сигнатур, 1 нейропрофиль, 42 микропрограммы лечения, 29159 подписей безопасных файлов. Основное изменение (кроме 200 разновиднотей новых зверей в базе) - это усилен эвристик и повышено качество зачистки системы - уже 42 микропрограммы "долечивания".

Из переделок - появилась возможность удаления любого файла (меню Файл/Отложенное удаление файла). Может применяться для удаление "неудаляемых" файлов вручную. Принцип работы - делается попытка удалить указанный файл, если попытка неуспеша, то делается попытка его переименовать его в *.bak; после этого файл (или его переименованный вариант) прописывается на отложенное удаление.