-
Junior Member
- Вес репутации
- 69
Олег, а проблемы с серверными ОС в новой версии решены?
Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.
Последний раз редактировалось Arhimed; 31.08.2007 в 04:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Зайцев Олег
Нет - это из-за "эвристики", основанной на поиске констант в теле файла, лидер тут NOD32
Реагируют они обычно на имена ключей реестра для экзотического автозапуска - я как раз добавил десяток, вот и результат.
Добрый день!
Олег, может быть, имеет смысл тебе включиться в общение с Eset, чтобы избежать конфликта настоящего, и в будущем? Пока, проблема решается внесением папки \AVZ в список исключений монитора AMON. Но кто знает, как в дальнейшем "уживутся" на одной системе NOD32 и AVZ.
---
кстати, надо ли удалять драйверы AVZPM предыдущей 4.25 версии?
---
Олег, что это может значить:
Функция NtBuildNumber (8046CCDC) - модификация машинного кода.
Метод не определен., внедрение с байта 4
(Скан в новой версии 4.27; Win2000, SP4)
Последний раз редактировалось santy; 31.08.2007 в 06:34.
-
-
Троян в программе?
При закачке последней версии программы, NOD32 находит в ней троян Genetick.
-
-
Сообщение от
;130572
При закачке последней версии программы, NOD32 находит в ней троян Genetick.
А всю тему прочитать слабо?
-
-
Junior Member
- Вес репутации
- 61
Локальную базу чистых файлов прикручивать _нельзя_!
Это будет большая дыра, т.к. программы не только качаются с офсайта, но и распространяются офлайново - на флэшках, компашках и т.д. И вот, человек с большой офлайновой базой, допустим, админ, юзающий АВЗ на работе в своей сети - в базу забита куча приложений для удаленного управления, приходит к кому-то лечить машинку. Лечит. Пользователь просит скопировать ему эту мега-программу, которая все вылечит и всех спасет. И сам начинает таскать АВЗ на флэшке. А потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...
-
Сообщение от
SuperBrat
У тебя утилита была. С помощью ее или новыми командами AVZ.
Ты имеешь ввиду Powertoys for Windows XP? В справке AVZ я не нашел описание новых команд.
-
-
Сообщение от
aldares
потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...
Вот именно это и удерживает меня от создания таких фич, как локальные базы зверей и чистых. Даже лпытный админ может считать что-то чистым, а оно например будет зверем...
Добавлено через 1 минуту
Сообщение от
Maxim
Ты имеешь ввиду Powertoys for Windows XP? В справке AVZ я не нашел описание новых команд.
А их там и нет - модификации настроек сводятся в основном к правке реестра, а команды для этого в скрипт-языке есть от рождения. Если после скана сделать исследование, то в логе будут ссылоски для автогенерации скрипта, меняющего настройки.
Добавлено через 5 минут
Сообщение от
santy
Олег, может быть, имеет смысл тебе включиться в общение с Eset, чтобы избежать конфликта настоящего, и в будущем?
Вопрос только в том, как это сделать ? Я вежливо написал им о существующей проблеме, письмо гарантировано дошло, и тишина. Вот текст моего письма:
Код:
Добрый день !
Ваш антивирус детектирует и удаляет исполняемый файл антивирусной
утилиты AVZ версии 4.27 (детектируется как probably a variant of Win32
/Genetik).
Просьба исправить базу для устранения детекта.
Адрес страницы загрузки - http://www.z-oleg.com/secur/avz/download.php,
прямой URL загрузки - http://z-oleg.com/avz4.zip.
С уважением,
Зайцев Олег
писал я на [email protected] с ящика @kaspersky.com.
Добавлено через 1 минуту
Сообщение от
santy
кстати, надо ли удалять драйверы AVZPM предыдущей 4.25 версии?
Не обязательно, но очень желательно. В стандартных скриптах (Файл\Стандартные скрипты) есть скрипт для зачистки всего, что AVZ устанавливает в систему - можно его прогнать и перезагрузиться.
Сообщение от
santy
Олег, что это может значить:
Функция NtBuildNumber (8046CCDC) - модификация машинного кода.
Метод не определен., внедрение с байта 4
(Скан в новой версии 4.27; Win2000, SP4)
Попробуйте посканировать сегодня после обеда, предварительно обновив базы - это сообщение должно исчезнуть
Добавлено через 3 минуты
Сообщение от
Arhimed
Олег, а проблемы с серверными ОС в новой версии решены?
Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.
Проблема решена:
1. В логе пишется о том, что AVZ запущен из консольной сессии
2. Исправление SPI/LSP сначала делает автоматический бекап настроек в виде REG файла, поэтому если в результате действий AVZ что-то запортится, то можно откатить настройки SPI на исходные
Последний раз редактировалось Зайцев Олег; 31.08.2007 в 08:53.
Причина: Добавлено
-
-
Олег, написал в техподдержку Eset Russia менеджерам. Интересно, что они ответят.
-
-
Сообщение от
santy
Олег, написал в техподдержку Eset Russia менеджерам. Интересно, что они ответят.
Спасибо - очень интересно, что ответят. Мне не ответили например, я сегодня послал еще несколько писем с разных ящиков. Беда в том, что он удаляет AVZ в на стройке по дефолту ... ругаться эвристикой, поведенческим анализом и т.п. - это святое дело, например проактивка KIS и любой аналогичный продукт будет ругаться на AVZ в процессе работы, и ругаться по делу (доступ к памяти процессов, установка драйверов, доступ к критическим ключам реестра типа автозапуска). Но сразу уничтожать - это несколько экстремально.
Последний раз редактировалось Зайцев Олег; 31.08.2007 в 09:31.
-
-
Сообщение от
Зайцев Олег
Мне не ответили например
А ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили .
-
-
Сообщение от
Зайцев Олег
Спасибо - очень интересно, что ответят. Мне не ответили например, я сегодня послал еще несколько писем с разных ящиков. Беда в том, что он удаляет AVZ в на стройке по дефолту ... ругаться эвристикой, поведенческим анализом и т.п. - это святое дело, например проактивка KIS и любой аналогичный продукт будет ругаться на AVZ в процессе работы, и ругаться по делу (доступ к памяти процессов, установка драйверов, доступ к критическим ключам реестра типа автозапуска). Но сразу уничтожать - это несколько экстремально.
Ругается он все-таки на avz.exe, который находит в архиве и проверяет после скачивания. Также ругается, но не удаляет при сканировании файлов, если при этом загружен АВЗ.
Cкaниpoвaниe выпoлнeнo зa: 31.08.2007 12:58:05
Лог сканирования
Версия NOD32 2493 (20070831) NT
Командная строка: C:\Arhives\avz4.zip
Оперативная память - вероятно модифицированный Win32/Genetik троян
Дата: 31.8.2007 Время: 12:59:21
Технология Anti-Stealth включена.
Проверены диски, папки и файлы: C:\Arhives\avz4.zip
C:\Arhives\avz4.zip »ZIP »avz4/avz.exe - вероятно модифицированный Win32/Genetik троян
Количество проверенных файлов: 58
Количество найденных вирусов: 1
Время завершения: 12:59:23 Общее время сканирования: 2 сек (00:00:02)
Добавлено через 8 минут
Сообщение от
Rene-gad
А ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили
.
На некоторые образцы вирусов отвечал их вируслаб, единственно что просят прислать регистрационные данные, но потом все-таки переадресовали в российский филиал.
-----
Hello,
please download and install NOD32 2.50.25 from http://www.eset.com/download/download.htm, update the virus signature database to the actual version 1.1248 and carry out an in-depth scan of your disk(s). If a suspicious file is found, let NOD32 submit it via the integrated ThreatSense.Net Early Warning System for further analysis (the Submit for analysis option in the alert window should remain ticked).
If you are not a registered user, you can download a trial version from http://www.eset.com/download/trial.htm
Best regards,
Mark
Eset
NOD32 Technical Support
Slovakia
Web: www.eset.com
Email: [email protected]
=========================================
NOD32 ... protecting digital worlds!
=========================================
Последний раз редактировалось santy; 31.08.2007 в 10:16.
Причина: Добавлено
-
-
Сообщение от
santy
На некоторые образцы вирусов отвечал их вируслаб
поскольку я всегда посылаю файлы через интерфейс НОДа, ответа ни разу не удостоился
-
-
Ситуация с ложным детектом на сегодня:
File
avz.exe received on 08.31.2007 09:17:41 (CET)
Antivirus Version Last Update Result
AVG 7.5.0.484 2007.08.30 Generic7.CNE
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
NOD32v2 2493 2007.08.31 probably a variant of Win32/Genetik
Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
SuperBrat
AVG 7.5.0.484 2007.08.30 Generic7.CNE
у них детека не было, появился с утра ... вывод о принципе наполнения сигнатурной базы "если это детектят конкуренты, то будем детектить и мы как Generic" Их саппорт правда ответил немедленно (ответил правда робот, но заявке присвоили номер G#0702153258, стало быть идет регистрация обращений и обработка)
Добавлено через 54 минуты
Я завел отдельную ветку для пожеланий, обсуждения и критики системы ИПУ: http://virusinfo.info/showthread.php?p=130660, там же краткая дока по тому, что проверяется и что при этом сообщается в логе
Последний раз редактировалось Зайцев Олег; 31.08.2007 в 12:24.
Причина: Добавлено
-
-
Олег! М.б. пока архив с 4.27 по-другому назвать? В раделе "Помогите" есть уже пострадавшие от ложняков.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Олег! М.б. пока архив с 4.27 по-другому назвать? В раделе "Помогите" есть уже пострадавшие от ложняков.
От каких ложняков - AVZ у них что-то прибил или его прибил NOD32 ?
-
-
Сообщение от
Зайцев Олег
От каких ложняков - AVZ у них что-то прибил или его прибил NOD32 ?
Утром жаловались на AVG.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
aldares
Локальную базу чистых файлов прикручивать _нельзя_!
Это будет большая дыра, т.к. программы не только качаются с офсайта, но и распространяются офлайново - на флэшках, компашках и т.д. И вот, человек с большой офлайновой базой, допустим, админ, юзающий АВЗ на работе в своей сети - в базу забита куча приложений для удаленного управления, приходит к кому-то лечить машинку. Лечит. Пользователь просит скопировать ему эту мега-программу, которая все вылечит и всех спасет. И сам начинает таскать АВЗ на флэшке. А потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...
1. Я так понимаю, что другого способа хранения базы, кроме как в файлике, ты не представляешь? Ещё как минимум реестр есть. Да и файлик можно не в папке AVZ держать.
2. Ну и что в этом плохого в таком сценарии? Ты думаешь, сейчас иначе???? Просто списочек этот НА ЛИСТОЧКЕ клиенту пишется. Мол проверяй себе систему, но на вот на эту вот ругань не смотри, это у тебя не вирус, это firewall.
3. В выкладывание распакованного AVZ на FTP вместо ссылки на авторский архив - НЕ ВЕРЮ.
Добавлено через 9 минут
Сообщение от
Зайцев Олег
Вот именно это и удерживает меня от создания таких фич, как локальные базы зверей и чистых. Даже лпытный админ может считать что-то чистым, а оно например будет зверем...
А что, база чистых на листочке сильно полезней? Почти у каждого юзера что-то находится - антивируc, FireWall, русификатор, какая-нибудь программка для запуска игрушек без CD..... Так что всё равно приходится "на листочке" базу чистых записывать...
Если не хочешь, чтобы оно распространялось - не создавай его в папке с AVZ. Можно, например, в System32 его класть...
Последний раз редактировалось Jef239; 31.08.2007 в 12:59.
Причина: Добавлено
-
От Eset Russia пришло письмо в ответ на информацию о детекте АВЗ...
"Спасибо за информацию, будет передана в центр разработки."
-
-
Сообщение от
Jef239
Если не хочешь, чтобы оно распространялось - не создавай его в папке с AVZ. Можно, например, в System32 его класть...
Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.
-