.Сообщение от Help
файл помощи в самой программе тебе поможет
ну с этого я конечно и начал, но единственно что там написано про это --Инсталляция и включение AVZPM
Для включения AVZPM необходимо выполнить пункт меню "AVZPM/Установить драйвер расширенного мониторинга процессов". Выполнение этого пункта приводит к установке в систему драйвера мониторинга, его регистрации в реестре и загрузке. Драйвер начинает функциони..........
так вот этот пункт меню у меня не доступен(запрещён для выбора)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если не активны, значит операционка скорее всего Win9x - под ней драйвера AVZ не работают.
тогда всё понятно, на этом компе у меня МЕ.
Уважаемый Олег!
Впечатлен Вашей программой, особенно тем, что она приспособлена "для анализа ПК, проверка которых другими средствами ничего не дала" – отличное дополнение к другим антиввирусам, которыми я пользуюсь. Очень радует, что AVZ не требует установки.
Хотелось бы уточнить у Вас несколько моментов:
1) При проверке п.1.1. и 1.2. (rootkit’ов и перехватчиков API) выдаются сообщения:
«Функция kernel32.dll:GetProcAddress перехвачена, метод ProcAddressHijack.GetProcAddress
Внимание, таблица KiST перемещена !
Функция NtClose (19) перехвачена, перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemPowerState (F1) перехвачена перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys »
И т.п. Всего около 40.
В архиве обсуждения Вашей программы на данном форуме я прочел, что это, возможно результат работы Антивируса Касперского. Действительно ли это так?
2) «7. Эвристичеcкая проверка системы
Опасно - отладчик процесса "taskmgr.exe" = "C:\Program Files\DMoNsoft\PROWiSe\PROWiSe.exe"»
В чем опасность этой программы? Почему AVZ выдает такое сообщение?
3) «Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll"»
Это связано с работой Outpost’а или сам Outpost не осуществляет скрытую загрузку, и это признак посторонних программ?
4) «C:\Program Files\MediaCoder\codecs\producer\tools\audiofmtcon verter.dll >>> подозрение на Trojan-PSW.Win32.QQPass.dr …»
Ни один из моих антивирусов данный троян не фиксирует. Встречали ли Вы подобное сообщение раньше?
5) При проверке системы иногда (но не всегда), происходит автоматическое переключение раскладки клавиатуры с помощью PuntoSwitcher. Сталкивались ли Вы с подобным эффектом?
6) Загрузил AVZGuard. Но, когда включил его, перестали работать ярлыки на панели быстрого запуска (при нажатии выдается сообщение о том, что отсутствует доступ к устройству или файлу, возможно из-за того, что недостаточно прав). Является ли это неисправностью программы, или естественным результатом работы AVZGuard (к сожалению, еще не успел полностью изучить справку Вашей программы, возможно эта проблема освещается в ней).
С уважением.
1. Да, монитор KAV перемещает KiST и перехватывает массу функций для мониторинга за системой. Перехватчик - klif.sys
2. Windows NT позволяет задавать отладчики для процессов. Если это сделано, то вместо процесса будет запущен его отладчик. В данном случае для стандартного менеджера задач задан отладчик - некий PROWiSe.exe. По всей видимости, это какой-то альтернативный менеджер процессов и таким образом он подменил штатный диспетчер. Похожим образом это далает менеджер процессов Руссиновича, а кроме него - десятки разных зловредов, они применяют данный механизм как разновидность экзотического автозапуска и средство блокировки системных задач.
3. Данный ключ позволяет подгружать указанные библиотеку во все запускаемые процессы. Если библиотека опознана, как в данном случае - то это не опасно. А вот если неизвестна - то это почти наверняка зловред. Самый яркий пример - червяк Warezov
4. судя по имени и местоположению файла это ложное подозрение. Файл я советую прислать мне для анализа, если его безопасность подтвердится, то ложняк будет устранен, а файл - помещен в базу безопасных
5. У меня его нет, но прична эффекта ясна - поведенческий анализатор AVZ эмулирует клавиатурный ввод и мышиные события, PuntoSwitcher на это реагирует - вот и результат
6. Да, эта проблема описана в справке. Работать на ПК при активном AVZGuard нельзя, его нужно включать только после закрытия всех программ и тоолько на время убиения зловредов, защищающихся от удаления (сейчас чуть ли не каждый второй зловред агрессивно восстанавливает свои ключи в реестре, пересоздает файлы, перезапускает процессы и т.п. для самозащиты)
Да, это альтернативный менеджер. Файл постараюсь прислать (смотрите ЛС).
Спасибо за Ваши комментарии!
В этой версии у меня появился баг:
[Сервис] -> [Менеджер внедренных DLL]
И получаю красные окошки:
"Access violation at address AE8D5FB5. Read of address AE8D5FB5."
Нажимаю Ок:
"Access violation at address 1332DD03 in module 'avz.exe'. Read of address 000000001."
Нажимаю Ок, и опять появляются подобные окошки, и дальше avz виснет.
--
У меня WinXP pro SP1
Схожая ситуация. До Access violation не доходит, окно все-таки отображается, но почему-то
до отображения происходит штук 20-30 стандартных Beep, которые сливаются в очередь.
Олег, как насчет "экзотических способов автозапуска":
(до выхода 4.24)Выверка диспетчера автозапуска по "45 экзотическим методам автозагрузки" [в процессе, масса мелких доработок]
(опять сошлюсь на http://www.xakep.ru//magazine/xa/081/118/1.asp
ведь все равно приведенное там пашет, а в менеджере автозагрузки этого нет, т.е. чтоб понять откуда взялся зверь ([Explorer Shell Extentions]) придется ручником перебирать dll загруженные explorer'om...)
Олег, уже упоминал я о фичреквесте, но вы, вероятно, его не увидели. К нам на форум ЛК последнее время часто обращаются с жалобами на последствия вирей типа Trojan.Win32.VB.als, которые модифицируют настройки открытия дисков для автозапуска себя любимого. Был бы полезен скрипт восстановления системы "Восстановление параметров открытия дисков", который бы удалял:
- раздел HKCU\Software\Microsoft\Windows\CurrentVersion\Win dows\MountPoints2
- и содержимое подраздела
HKCR\Drive\shell.
(т.е. в первом случае в разделе Explorer не должно остаться раздела MountPoints2, а во втором подраздел HKCR\Drive\shell остается, но должен быть пуст).
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Олег, спасибо вам за ваши труды. Являюсь поклонником программы с давних пор и постоянно слежу за её развитием.
Я думаю, что если на сайте AVZ ввести Donate-раздел, то вы сможете хотя бы покрыть свои расходы на содержание этого же сайта.
Интерес заставляет меня задать следующий вопросы.
1. Когда процесс сканирования будет переведён из главного потока в отдельный поток, c возможностью менять его приоритет?! По моему это добавит удобств и при работе с программой действия пользователя никак не будут влиять на скорость сканирования.
2. Зачем на закладке "Базы AVZ", в окне TAboutDLG, в таблице список выглядит таким образом, что во второй колонке в каждой строке постоянно дублируется фраза "дата сборки"? Ведь в заголовке колонки это уже написано
3. Когда появится нормальное графическое оформление программы? К томуже не мешало бы добавить горячие клавиши для некоторых пунктов меню (Т.к. на 100% не угадаешь для кого какой пункт самый часто используемый, то возможно придётся написать редактор горячих клавиш.)
Может сейчас в меня полетят камни и многие скажут, что это не того рода программа, что бы вешать на неё рюшечки-цветочки. Но грамотное графическое оформление ускоряет работу с программой, способствуя быстрому визуальному запоминанию интерфейса программы. А быстрое освоение программы способствует её популяризации. Заметьте, я говорю именно о грамотном оформлении!
Конечно я не облачил тут супер багов и вопросы мои имеют низкую важностью на пути развития программы, но я думаю любые вопросы и нарекания в сторону AVZ, так или иначе помогают её улучшению! Буду рад ответам на них. Спасибо.
Навеяно предпоследним вопросом от NickGolovko.
Олег, почему бы не перевести комманды из "Восстановление системы", "Стандартные скрипты" в отдельные скрипты которые, возможно, будут располагаться в отдельной папочке Scripts в папке с AVZ. Это повысит удобство расширяемости, т.к. для того что бы добавить исправлялку надо будет просто написать скрипт и добавить в папку.
К тому же написание скриптов автоматизации поможет Вам понять каких подпрограмм не хватает во встроенном скриптовом языке и поможет начинающим разбираться в синтаксисе скриптов посмотреть "живые" примеры.
"Восстановление системы" и "Стандартные скрипты" основаны на скриптовом движке, но скрипты хранятся в обновляемой базе. Т.е. я в любой момент могу добавить новый скрипт или модернизировать существующие, и за счет автообновления это появится у всех пользователей. Пример - сегодня после обновления баз появится 16й пункт восстановления системы. А "живые примеры" я описываю в справке - там почти на каждую команду есть пример.
Ок. Один из вопросов освещен.
Олег, 14 и 15 пункты восстановления системы чем отличаются?
Опыт — это слово, которым люди называют свои ошибки.
Раздел Donate делать особого резона нет - он принесет копейки. По поводу вопросов:
1. Возможности регулировки приоритета есть - см. в справке, ключи Priority=[-1|0|1] и SleepScanTime=N
2. Ранее у заголовка была шапка "Информация о базе". Возможно, он еще вернется и информация будет расширена
3. Сложный вопросИсходно у AVZ интерфейса не было вообще. Потом я сделал текущий вариант, не сильно задумываясь о дизайне. К примеру, сейчас большинство пользователей с AVZ работаю так - запускают стандартный скрипт, скидываю логи, получают скрипт чистки ... Конечно, можно сделать разноцветный дизайн, с поддержкой скинов и т.п., но нужно ли ? Другое дело что-т ооптимизировать и т.п. - если есть идеи, поделитесь, подделать что-то тривиально
Реализацией. 14 - достигается средствами AVZ, 15 - стандартными средствами операционной системы. Соответственно если 14 не помогает, то стоит пробовать 15.
to Mad Scientist, NickGolovko
Это будет в очередной версии, в виде отдельного менеджера. Там не все однозначно, я насчитал уже штук 5 похожих методов автозапуска подобным образом.
Автозапуск там не страшен - вопрос в чистке следов
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Здравствуй Олег, вот на праздники хотел наехать - не получилось
Суть такова: после установки новой версии (субжа) сделал первый запуск и был немного удивлён: на недокачаном архиве вывело красным - не ПкЗип архив и повисло- минут 10 нагрузка первого проца ~75%, ни пауза, ни стоп не реагировали. Никакие изменения в настройках тоже не помогли. Немного поразмыслив мозгами прикинул что сначала нужно УДАЛИТЬ "старый" АВЗПР и установить новый - прокатило без проблем.
Второй вопрос: есть такая мулька - ПроцессЛассо, которая автоматически задаёт приоритеты процессам и их тредам (потокам) зависимо от настроек или же автоматически завершает запрещённые. Довольно часто АВЗ просто закрывался без сообщений, а теперь возникают тормоза и ошибки. Я понимаю что это "конфликт" софтов, но раз его нельзя решить по хорошему, то можно ли хотя бы реализовать автоконтроль приоритета прямо в АВЗ? (а то в Диспетчере Задач-- Процессы-- Задать приоритет коряво работает)
Конечно, имеется в виду контроль себя, а там - как руки дотянуться
Последний раз редактировалось anton_dr; 19.10.2008 в 17:45.
Хотел новой версией проверить диск С, но AVZ повисла (также как и описанно выше)
Ваши права в разделе
