Олег, а проблемы с серверными ОС в новой версии решены?
Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.
Олег, а проблемы с серверными ОС в новой версии решены?
Если нет, то хорошо бы, что бы проблемные места автоматом блокировались, при запуске под этими ОСями.
Последний раз редактировалось Arhimed; 31.08.2007 в 04:55.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Добрый день!Сообщение от Зайцев Олег
Нет - это из-за "эвристики", основанной на поиске констант в теле файла, лидер тут NOD32Реагируют они обычно на имена ключей реестра для экзотического автозапуска - я как раз добавил десяток, вот и результат.
Олег, может быть, имеет смысл тебе включиться в общение с Eset, чтобы избежать конфликта настоящего, и в будущем? Пока, проблема решается внесением папки \AVZ в список исключений монитора AMON. Но кто знает, как в дальнейшем "уживутся" на одной системе NOD32 и AVZ.
---
кстати, надо ли удалять драйверы AVZPM предыдущей 4.25 версии?
---
Олег, что это может значить:
Функция NtBuildNumber (8046CCDC) - модификация машинного кода.
Метод не определен., внедрение с байта 4
(Скан в новой версии 4.27; Win2000, SP4)
Последний раз редактировалось santy; 31.08.2007 в 06:34.
При закачке последней версии программы, NOD32 находит в ней троян Genetick.
А всю тему прочитать слабо?
Локальную базу чистых файлов прикручивать _нельзя_!
Это будет большая дыра, т.к. программы не только качаются с офсайта, но и распространяются офлайново - на флэшках, компашках и т.д. И вот, человек с большой офлайновой базой, допустим, админ, юзающий АВЗ на работе в своей сети - в базу забита куча приложений для удаленного управления, приходит к кому-то лечить машинку. Лечит. Пользователь просит скопировать ему эту мега-программу, которая все вылечит и всех спасет. И сам начинает таскать АВЗ на флэшке. А потом выкладывает на фтп в своей локалке, откуда АВЗ вменсте с базой качает еще 500 человек...
Ты имеешь ввиду Powertoys for Windows XP? В справке AVZ я не нашел описание новых команд.
Вот именно это и удерживает меня от создания таких фич, как локальные базы зверей и чистых. Даже лпытный админ может считать что-то чистым, а оно например будет зверем...
Добавлено через 1 минуту
А их там и нет - модификации настроек сводятся в основном к правке реестра, а команды для этого в скрипт-языке есть от рождения. Если после скана сделать исследование, то в логе будут ссылоски для автогенерации скрипта, меняющего настройки.
Добавлено через 5 минут
Вопрос только в том, как это сделать ? Я вежливо написал им о существующей проблеме, письмо гарантировано дошло, и тишина. Вот текст моего письма:
писал я на [email protected] с ящика @kaspersky.com.Код:Добрый день ! Ваш антивирус детектирует и удаляет исполняемый файл антивирусной утилиты AVZ версии 4.27 (детектируется как probably a variant of Win32 /Genetik). Просьба исправить базу для устранения детекта. Адрес страницы загрузки - http://www.z-oleg.com/secur/avz/download.php, прямой URL загрузки - http://z-oleg.com/avz4.zip. С уважением, Зайцев Олег
Добавлено через 1 минуту
Не обязательно, но очень желательно. В стандартных скриптах (Файл\Стандартные скрипты) есть скрипт для зачистки всего, что AVZ устанавливает в систему - можно его прогнать и перезагрузиться.
Попробуйте посканировать сегодня после обеда, предварительно обновив базы - это сообщение должно исчезнуть
Добавлено через 3 минуты
Проблема решена:
1. В логе пишется о том, что AVZ запущен из консольной сессии
2. Исправление SPI/LSP сначала делает автоматический бекап настроек в виде REG файла, поэтому если в результате действий AVZ что-то запортится, то можно откатить настройки SPI на исходные
Последний раз редактировалось Зайцев Олег; 31.08.2007 в 08:53. Причина: Добавлено
Олег, написал в техподдержку Eset Russia менеджерам. Интересно, что они ответят.
Спасибо - очень интересно, что ответят. Мне не ответили например, я сегодня послал еще несколько писем с разных ящиков. Беда в том, что он удаляет AVZ в на стройке по дефолту ... ругаться эвристикой, поведенческим анализом и т.п. - это святое дело, например проактивка KIS и любой аналогичный продукт будет ругаться на AVZ в процессе работы, и ругаться по делу (доступ к памяти процессов, установка драйверов, доступ к критическим ключам реестра типа автозапуска). Но сразу уничтожать - это несколько экстремально.
Последний раз редактировалось Зайцев Олег; 31.08.2007 в 09:31.
А ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили.
Ругается он все-таки на avz.exe, который находит в архиве и проверяет после скачивания. Также ругается, но не удаляет при сканировании файлов, если при этом загружен АВЗ.
Cкaниpoвaниe выпoлнeнo зa: 31.08.2007 12:58:05
Лог сканирования
Версия NOD32 2493 (20070831) NT
Командная строка: C:\Arhives\avz4.zip
Оперативная память - вероятно модифицированный Win32/Genetik троян
Дата: 31.8.2007 Время: 12:59:21
Технология Anti-Stealth включена.
Проверены диски, папки и файлы: C:\Arhives\avz4.zip
C:\Arhives\avz4.zip »ZIP »avz4/avz.exe - вероятно модифицированный Win32/Genetik троян
Количество проверенных файлов: 58
Количество найденных вирусов: 1
Время завершения: 12:59:23 Общее время сканирования: 2 сек (00:00:02)
Добавлено через 8 минут
На некоторые образцы вирусов отвечал их вируслаб, единственно что просят прислать регистрационные данные, но потом все-таки переадресовали в российский филиал.А ESET никогда не отвечает: я им регулярно samples, которые тут появляются и НОДом не детектятся, посылаю, иногда даже с копией Вирустотал-Протокола - еще ни разу не ответили
-----
Hello,
please download and install NOD32 2.50.25 from http://www.eset.com/download/download.htm, update the virus signature database to the actual version 1.1248 and carry out an in-depth scan of your disk(s). If a suspicious file is found, let NOD32 submit it via the integrated ThreatSense.Net Early Warning System for further analysis (the Submit for analysis option in the alert window should remain ticked).
If you are not a registered user, you can download a trial version from http://www.eset.com/download/trial.htm
Best regards,
Mark
Eset
NOD32 Technical Support
Slovakia
Web: www.eset.com
Email: [email protected]
=========================================
NOD32 ... protecting digital worlds!
=========================================
Последний раз редактировалось santy; 31.08.2007 в 10:16. Причина: Добавлено
поскольку я всегда посылаю файлы через интерфейс НОДа, ответа ни разу не удостоился
Ситуация с ложным детектом на сегодня:
File avz.exe received on 08.31.2007 09:17:41 (CET)
Antivirus Version Last Update Result
AVG 7.5.0.484 2007.08.30 Generic7.CNE
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
NOD32v2 2493 2007.08.31 probably a variant of Win32/Genetik
Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Additional information
File size: 726016 bytes
MD5: 8499121440521062210cfd1b09357764
SHA1: 1a7d94fc83049f0e8b6d5af9e1f8f768dd73b8f6
packers: UPX
packers: UPX
packers: UPX
Опыт — это слово, которым люди называют свои ошибки.
у них детека не было, появился с утра ... вывод о принципе наполнения сигнатурной базы "если это детектят конкуренты, то будем детектить и мы как Generic"
Добавлено через 54 минуты
Я завел отдельную ветку для пожеланий, обсуждения и критики системы ИПУ: http://virusinfo.info/showthread.php?p=130660, там же краткая дока по тому, что проверяется и что при этом сообщается в логе
Последний раз редактировалось Зайцев Олег; 31.08.2007 в 12:24. Причина: Добавлено
Олег! М.б. пока архив с 4.27 по-другому назвать? В раделе "Помогите" есть уже пострадавшие от ложняков.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
От каких ложняков - AVZ у них что-то прибил или его прибил NOD32 ?
Утром жаловались на AVG.
Опыт — это слово, которым люди называют свои ошибки.
1. Я так понимаю, что другого способа хранения базы, кроме как в файлике, ты не представляешь? Ещё как минимум реестр есть. Да и файлик можно не в папке AVZ держать.
2. Ну и что в этом плохого в таком сценарии? Ты думаешь, сейчас иначе???? Просто списочек этот НА ЛИСТОЧКЕ клиенту пишется. Мол проверяй себе систему, но на вот на эту вот ругань не смотри, это у тебя не вирус, это firewall.
3. В выкладывание распакованного AVZ на FTP вместо ссылки на авторский архив - НЕ ВЕРЮ.
Добавлено через 9 минут
А что, база чистых на листочке сильно полезней? Почти у каждого юзера что-то находится - антивируc, FireWall, русификатор, какая-нибудь программка для запуска игрушек без CD..... Так что всё равно приходится "на листочке" базу чистых записывать...
Если не хочешь, чтобы оно распространялось - не создавай его в папке с AVZ. Можно, например, в System32 его класть...
Последний раз редактировалось Jef239; 31.08.2007 в 12:59. Причина: Добавлено
От Eset Russia пришло письмо в ответ на информацию о детекте АВЗ...
"Спасибо за информацию, будет передана в центр разработки."
Всё равно найдут. И какой смысл? Юзер добавит все подряд в доверенную зону, а хелпер будет говорить что компьютер здоров.
Ваши права в разделе
