Всем доброго времени суток.
При запуске по "дефолту" AVZ 4.37 на чистой системе Win 7 x64 SP1 все нормально.
При установке на закладке "параметры поиска" галочки на против
"Блокировать работу RootKit User-Mode" выскакивает окошечко windows о закрытии программы.
При запуске по дефолту в логе AVZ есть такие строки
1.2 Поиск перехватчиков API работающих в KernelMode
Ошибка загрузки драйвера- проверка прервана [С000036В]
1А Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера- проверка прервана [С000036В]
Помогите пожалуйста в чем беда?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Давно не пользовался АВЗ, а тут новой версией просканировал пару компов - очень много записей в разделе Autorun, причем большинство из "SYSTEM\CurrentControlSet\Services\Eventlog\" и с поголовным "ошибка получения информации о файле". Видимо, Зайцев Олег расширил список проверяемых и добавляемых в отчет разделов реестра по автозапуску (или проводится проверка по указанным в реестре, но отсутствующим на жестком диске файлам). Или эта особенность 64 битных версий Windows 7(обе системы на 7 x64)?
Минусик в changelog - это значит, что этот пункт ещё не доработан?
[I]Если хочешь стать оптимистом и понять жизнь, то перестань верить тому, что говорят и пишут, а наблюдай сам и вникай. [/I]А.П. Чехов
да, можете перейти по ссылке в моей подписи и пополнить базу чистых AVZ, возможно после этого записей станет меньше.
Хочу добавить небольшое замечание - полазил по некоторым сайтам, в том числе по сайту microsoft. Удалось выяснить следующее(по крайней мере, я так понял) - записи EventMessageFile относятся к журналу событий. Изменение статуса программы(либо др. информация, отн. к пр-ме) записывается в журнал определенным образом: указывается "код" события и путь к своеобразному файлу-"библиотеке", где содержатся все "коды" и соответствующие им описания уже в удобоваримом человеческом виде. Параметр реестра "EventMessageFile" отвечает, по всей вероятности, за путь к файлу-"библиотеке". Если этот файл отсутствует, то в скрипте это отображается.
Если моя догадка верна, то не совсем понятно, почему эти записи относятся к autorun, так что, скорее всего, я что-то напутал.
Хотелось бы услышать комментарии Олега по этому поводу...
З.Ы. Ещё группа записей в логе(вторая по величине) -
Опять же, с ошибкой получения файла на диске. Посерфил в инете, какие-то отголоски Conflicker(он добавляет инфу):
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\Parameters\”ServiceDll” = “Path to worm”
На сайте майкрософт написано следующее(для Remote Access сервиса):
Код:
ServiceDll
HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
REG_EXPAND_SZ
Description
Specifies the location of the dynamic-link library (DLL) for the remote access service.
Do not change the value of this entry. If you change this value or move the DLL file, you can prevent the Routing and Remote Access service from starting.
Дословно - определяет расположение динамической библиотеки DLL для сервиса удаленного доступа
Не изменяйте значение этого параметра. Если вы измените значение или переместите DLL файл, вы можете помешать запуску сервиса маршрутизации и удаленного доступа
На глаз прикинул, получается около 40 доп. записей. В разделе "Помогите" все логи поголовно такие же. Вопрос, что с этим нужно делать? Просто запомнить?
Последний раз редактировалось dan_p; 28.11.2011 в 23:03.
[I]Если хочешь стать оптимистом и понять жизнь, то перестань верить тому, что говорят и пишут, а наблюдай сам и вникай. [/I]А.П. Чехов
необходимо выполниить сканирование и предоставить логи, но на первом же этапе застопорился...
не удается выполнить "Обновление баз"
пишет - Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip
Nick K, на сайте z-oleg.com можно скачать свежие базы в виде архива и распаковать вручную. В крайнем случае сделайте логи без обновлений, там посмотрим.
День добрый. После обновления на версию 4.37 при запуске скрипта из командной строки
xvz.exe HiddenMode=1 Script=scan1.txt
начала появляться ошибка, препятствующая работе AVZ (см. рисунок).
Что теперь не так работает?
Код:
begin
// Script=<имя скрипта> - загрузка и выполнение указанного скрипта.
// Данный ключ обрабатывается последним, независимо от его положения в командной строке
// xvz.exe HiddenMode=1 Script=R:\Static\_Menu\System\Monitors\Plus\xvz_se\MyScripts\scan1.txt
// Настройка
SetupAVZ('HiddenMode=1');
{0 - Стандартный режим, окно видимо и доступно пользователю
1 - Окно AVZ невидимо, в трее отображается иконка. Пользователь может развернуть окно нажатием мышью на иконку. Пользователю доступно связанное с иконкой меню, позволяющее остановить и запустить сканирование.
2 - Окно AVZ невидимо, в трее отображается иконка, однако меню иконки заблокировано и пользователь не может развернуть окно AVZ
3 - Окно AVZ невидимо, иконка в трее не отображается.
Настройка режима работы полезна в случае запуска AVZ для проверки рабочих мест пользователей из logon-скрипта или при помощи автозапуска.}
// если сканирование не завершилось за 20 минут, прервать его
ActivateWatchDog(20*60);
SetupAVZ('RootKitDetect=Y');
SetupAVZ('AntiRootKitSystemUser=Y');
SetupAVZ('DelVir=N');
SetupAVZ('ScanSystemIPU=Y');
SetupAVZ('ModeVirus=0');
SetupAVZ('ModeAdvWare=0');
SetupAVZ('ModeSpy=0');
SetupAVZ('ModePornWare=0');
SetupAVZ('ModeRiskWare=0');
SetupAVZ('Priority=-1');
SetupAVZ('SleepScanTime=20'); // Задержка не заданное кол-во миллисекунд выдается после сканирования каждого файла
// Обновление
if ExecuteAVUpdateEx ('',1,'','','') then
AddToLog('Обновление AV баз успешно выполнено');
if GetAVZPMStatus then
AddToLog('AVZ PM активен')
else
AddToLog('AVZ PM не активен');
ExecuteSysChkIPU;
// Сканирование
ExecuteStdScr(2);
// RunScan;
{1. Поиск и нейтрализации RootKit UserMode и KernelMode
2. Скрипт сбора информации для раздела "Помогите" virusinfo.info
3. Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info
4. Скрипт сбора неопознанных и подозрительных файлов
5. Обновление баз с автоматической настройкой
6. Удаление всех драйверов и ключей реестра AVZ}
// Отправка письма
SendEmailMessage('mail.xxxxx.xx.xx', 'AVZ [email protected]', '[email protected]',
'AVZ email report from "'+ GetComputerName+'"',
'Report from computer "' + GetComputerName + '" '+#13 +
'SuspCount = ' + InttoStr(GetSuspCount) + #13 +
'DetectedCount = ' + InttoStr(GetDetectedCount) ,
false, '', '',
GetAVZDirectory + 'log/virusinfo_syscheck.zip',
'',
''
);
// ---------------
ExitAVZ;
end.
Irina786, похоже, сбой появился после одного из ноябрьских обновлений базы в модуле, отвечающем за эвристическую проверку. В форуме поддержки AVZ я насчёт этого отписался, поправят со временем. Не обращайте внимания, на результат выполнения стандартных скриптов это существенно не влияет.
Всем доброго здравия ! После сканирования системы в окне протокола появляются следующие записи из них нижняя красного цвета. К сожалению я новичок в этом деле, что такое мини дамп и где его искать не знаю. Прикрепляю к сообщению фото. АВЗ 4.37, вин.хр хом эдишн SP3. Подобное сообщение уже "поспешил" отправить на http://www.z-oleg.com ( номер заявки-3177)- поздно заметил ссылку на "Вирусинфо"
С уважением Андрей.
7 Эвристическая проверка системы
Ошибка скрипта:')' expected, позиция [168:3]
Ошибка микропрограммы 385
Добрый день!
На компе стоит Windows7 x64 SP1 базовая домашняя версия. Не могу установить драйвер для AVZPM. Запускаю программу от имени администратора. Нажимаю на кнопку и ничего... Никакой реакции программы. До этого использовала AVZPM c Windows XP 32, и привыкла. Очень нравилось, как работает программа. Спасибо большое за разработку! Проконсультируйте, как можно устранить проблему.