Вышла новая версия антивирусной утилиты AVZ - 4.43

[Vvvyg]

А ещё неплохо бы приравнять задания к прочему автозапуску и чистить их сисклином.

[mike 1]

Можно в 22 твик еще добавить очистку этого ключа реестра?

7. Эвристичеcкая проверка системы
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "0http://ertaco.com/cols/accepted2.ruo"

Полное имя 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Имя файла 0HTTP://ERTACO.COM/COLS/ACCEPTED2.RUO
Тек. статус ПОДОЗРИТЕЛЬНЫЙ

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Para meters\Internet\ManualProxies\
0http://ertaco.com/cols/accepted2.ruo

[regist]

mike 1, так можно сказать из-за этого ключа эта таблетка и появилась http://virusinfo.info/showthread.php...=1#post1177844
Проблема в том, что вирус постоянно восстанавливает эту настройку.

[mike 1]

regist 22 таблетка не смогла сбросить эту надстройку, да и самого вируса уже не было, который добавляет эту надстройку.

[regist]

1)

не смогла сбросить эту надстройку

не смогла и не проверяет этот ключ это немного разные вещи.
2)

да и самого вируса уже не было

этот настройка сама по себе вирус по класификации ЛК Trojan.Multy.Proxy.Changer, по этому адресу находится JS скрипт который меняет настройки прокси.

- - - - -Добавлено - - - - -

Сейчас проверил работу таблетки на этом твике, значение параметра было обнулено. Так что этот ключ обрабатывает. А почему не смогло сбросить это уже другой вопрос.

[regist]

thyrex, уже несколько раз замечал, что для того чтобы AVZ перескочил к нужной ветке реестра надо сделать несколько попыток. Для наглядности записал видео.

[regist]

Было бы удобней, если рядом с названием ОС

Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Home Premium"

ещё выводилась разрядность системы.

[antanta]

Добрый день. Не планируется ли "сетевая" версия AVZ?
Я имею в виду возможность запуска программы на удалённой машине, с отображением результатов в привычном виде на машине хелпера ("хелпер" -в широком смысле).
Такая система позволила бы производить мелкий ремонт и диагностику, не мешая пользователю.
Кроме того, ну и на основании полученных данных раздавать "таблетки" сразу группе пользователей из разных организаций, например.
Ясно, что для этого нужен сервер.

[regist]

1)
http://rghost.ru/59703688
Экспорта реестра к сожалению нет, но итак понятно, что там должен быть xerox почему AVZ решило его так обрезать, не понятно. Или у кибера появилось чувство юмора?

2) http://rghost.ru/59703791
Мобоген опять попал в белый (зелёный) список.

3) http://rghost.ru/59703848 - скорее всего AVZ неправильно распознал юникодное имя файла (предполагаю, что оно было иероглифами)
3.1)
По HTML логу вставляется в скрипт команды

Код:

begin
 QuarantineFile('C:\Documents and Settings\4<8=8AB@0B>@\Local','');
 DeleteFile('C:\Documents and Settings\4<8=8AB@0B>@\Local','32');
end.

AVZ ругается на синтаксис.
3.2) В XML логе также ошибки

[regist]

http://virusinfo.info/attachment.php...8&d=1419241150 опять косяк с экранированием кавычек.
Строка №5

Код HTML:

  <ITEM PID="6864" File="c:\program files (x86)\nti\acer backup manager\backupmanagertray.exe" CheckResult="0" Descr="Acer Backup Manager" LegalCopyright="Copyright (C) 2011, NTI Corporation. All rights reserved." Hidden="0"  CmdLine="&quot;C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe" -h -k" Size="296984" Attr="rsAh" CreateDate="05.01.2012 13:21:44" ChangeDate="05.01.2012 13:21:44" MD5="4DDE3E01B5020B3D5DEEC7E3DC0F3185" Vendor="NTI Corporation" Product="Acer Backup Manager" Ver="3.0.0.100" IsPE="1" />

[Зайцев Олег]

Добрый день. Не планируется ли "сетевая" версия AVZ?
Я имею в виду возможность запуска программы на удалённой машине, с отображением результатов в привычном виде на машине хелпера ("хелпер" -в широком смысле).
Такая система позволила бы производить мелкий ремонт и диагностику, не мешая пользователю.
Кроме того, ну и на основании полученных данных раздавать "таблетки" сразу группе пользователей из разных организаций, например.
Ясно, что для этого нужен сервер.

Собственно, AVZ изначально и появился как сетевой А потом к нему был приделан GUI (изначально попросту секции лога в XML шли на сервер, оттуда в ответ - скрипты). Но это неудобно, так как нужно держать запущенного агента AVZ все время и иметь постоянную IP достижимость до сервера, на сервере нужна серьезная БД, некий GUI.... Сейчас в КВС все проще - скрытно запускается AVZ (rexec, доменная политика, агентом антивируса или через управляемое через домен задание планировщика), он собирает логи и карантины невидимо для пользователя и шлет по FTP на сервер админам. Там все это изучается (вручную, автоматом, полуавтоматом), и если нужно, идет формирование и запуск скрипта тем же образом. Но в КВС такие фокусы, как запуск толком не проверенных скриптов во время работы пользователя - весьма опасная затея, потому практикуется редко, например в случае лечения эпидемий.

[mike 1]

http://virusinfo.info/showthread.php?t=176254

Adware попало в базу чистых файлов.

O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mintcastnetworks.dll

https://www.virustotal.com/ru/file/d...2d85/analysis/ (правда в моем случае хэш md5 может быть другим)

[thyrex]

Навеяно в очередной раз темой http://virusinfo.info/showthread.php?t=177699, где пришлось собирать скрипт несколько раз

Олег, Вас уже просили, чтобы в логах файлы в секциях

Модули пространства ядра
Автозапуск
Модули расширения Internet Explorer (BHO, панели ...)
Подозрительные объекты

+ загруженные dll под списком процессов шли без подчеркивания и не срабатывали как ссылки, которые обнуляют скрипт и приходится все повторять заново

[regist]

Зайцев Олег,
1) http://rghost.ru/7zw4SFHHV
Опять косяк с экранирование кавычек. Строка: 30, Символ: 334

Код HTML:

  <ITEM PID="5768" File="c:\program files (x86)\microsoft office\office15\winword.exe" CheckResult="-1" Descr="Microsoft Word" LegalCopyright="" Hidden="0"  CmdLine="&quot;C:\Program Files (x86)\Microsoft Office\Office15\WINWORD.EXE&quot; /n &quot;C:\Users\kapustin.es\AppData\Local\Temp\Rar$DI67.288\Отчет за сентябрь 2014.docx  /o """ Size="1922712" Attr="rsAh" CreateDate="21.01.2015 14:59:54" ChangeDate="21.01.2015 14:59:54" MD5="1E8A06F4AB44FAA82935D22C93BD9EAB" Vendor="Microsoft Corporation" Product="Microsoft Office 2013" OFN="WinWord.exe" Ver="15.0.4693.1000" IsPE="1" />

2) AVZ регулярно не дочищает задания. По логу AVZ задание как бы удалено и больше не видно, а потом запрашиваешь лог Farbar или AdwCleaner (by Xplode)
К примеру в логе FRST это выглядит так

Код:

Task: {4A2EEFCC-1E14-49F5-8E9C-4E4111DDB3BD} - \chrome5_logon No Task File <==== ATTENTION
Task: {91E48151-635F-4E70-8053-3FBBC357C6AF} - \chrome5 No Task File <==== ATTENTION
Task: {B56BE3D5-B911-47D1-A4E8-D4789C7F749D} - \SystemScript No Task File <==== ATTENTION

После удаления этих ошмётков часто и проблема юзера уходит.
Возможно эта бага связана как раз с тем, что составление скрипта AVZ по логу AVZ не учитывается разрядность (на x64 ситемах всегда вставляется этот параметр независимо от того нужно отключать редирект или не нужно).

PS. и полиморф не помешало бы обновить. С начала Июня там базы не обновлялись . А раньше как минимум раз в месяц пересобирался.

[regist]

2) AVZ регулярно не дочищает задания. По логу AVZ задание как бы удалено и больше не видно, а потом запрашиваешь лог Farbar или AdwCleaner (by Xplode)

Свежий случай на другом форуме thyrex, по логу AVZ написал команды для удаления

Код:

DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');

скрипт thyrex целиком

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
 then
   begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
   end;
 SetServiceStart('WindowsMangerProtect', 4);
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\123\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('C:\Users\123\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteService('WindowsMangerProtect');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(false);
 end.

Скрыть

В свежих логах AVZ в планироващике задания этого задания нет, а в позже запрошенных логах AdwCleaner (by Xplode) оно видно

***** [ Scheduled tasks ] *****

Task Found : chrome5
Task Found : chrome5_logon

В карантинах кибера эта малварь (InstallAddons.exe запускающийся через такие задания) вроде должна быть.

[thyrex]

Провел эксперимент в теме http://virusinfo.info/showthread.php?t=177840

При составлении скрипта параметр при удалении заданий вручную сменил на 32 вместо предлагаемого 64. Случайно пропустил для одного задания, и в итоге запись от него все равно осталась в логе Addition.txt

[thyrex]

Вот такую подмену ярлыков

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr (2).lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\mozilla firefox\firefox.bat"] -> start "" /I /B /D "c:\PROGRA~2\MOZILL~1\" "c:\PROGRA~2\MOZILL~1\firefox.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\users\user\appdata\local\yandex\yandexbrowser\ application\browser.bat"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLI C~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLI C~1\browser.exe" -- hxxp://search-poysk.ru

>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Вконтакте.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Одноклассники.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\internet explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk" -> ["C:\Windows\system32\cmd.exe" => /C "c:\program files (x86)\opera\launcher.bat"] -> start "" /I /B /D "c:\PROGRA~2\opera\" "c:\PROGRA~2\opera\launcher.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~2\INTERN~1\" "c:\PROGRA~2\INTERN~1\iexplore.exe" hxxp://search-poysk.ru

>>> [script][MASK] "C:\Users\user\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Yandex\Yаndех.lnk" -> ["C:\Users\user\AppData\Local\Yandex\YandexBrowser\ Application\browser.bat" => --load-and-launch-app="C:\Program Files (x86)\Common Files\{37B535B0-B061-4F4E-AD6E-6D8458269203}\0.8"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLI C~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLI C~1\browser.exe" -- hxxp://search-poysk.ru

утилита не видит

[regist]

2015-03-01 12:25 был обновлён полиморфный AVZ

1. В описании процессов и DLL ссылки удалены, сведения по файлу вынесены в столбец с описанием файла (для DLL это ранее был столбец с MD5)

2. В всех остальных секциях ссылки удалены, а то, что выводилось в них, выводится более мелким шрифтом под именем файла

3. Важные моменты в данных по файлу (создан с пределах последних 2 недель, атрибуты "скрытый" и "системный") выделяются цветом и жирностью, чтобы сразу бросалось в глаза

4. Добавлены сведения по файлам в планировщике заданий (ранее их не было)

5. Добавлен нормальный парсинг имен файлов и фильтрация по базе чистых в менеджере протоколов (ранее почему-то он там не был подключен)

в обычной версии

Добавил пилюлю №23. Она делает резервную копию политик Google, после чего уничтожает их из реестра в HKLM и HKCU (базы уже вышли, после обновления данная пилюля появится в списке доступных)

[Dragokas]

Здравствуйте, Олег !

Версия Windows: 6.2.9200, "Windows 10 Pro Technical Preview" ; AVZ работает с правами администратора

http://forum.oszone.net/post-2478143.html#post2478143

Здесь неверно определило название ОС.
Можно ли сделать что-то наподобие этого:

Скрытый текст

Код:

  
    Select Case MajorMinor_
        Case 10
            OSName_ = "Windows 10" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
        Case 6.4
            OSName_ = "Windows 10 Technical Preview" & " (Ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
        Case 6.3
            If osi.wProductType = VER_NT_WORKSTATION Then
                OSName_ = "Windows 8.1"
            Else
                OSName_ = "Windows Server 2012 R2"
            End If
        Case 6.2
            If osi.wProductType = VER_NT_WORKSTATION Then
                OSName_ = "Windows 8"
            Else
                OSName_ = "Windows Server 2012"
            End If
        Case 6.1
            If osi.wProductType = VER_NT_WORKSTATION Then
                OSName_ = "Windows 7"
            Else
                OSName_ = "Windows Server 2008 R2"
            End If
        Case 6
            If osi.wProductType = VER_NT_WORKSTATION Then
                OSName_ = "Windows Vista"
            Else
                OSName_ = "Windows Server 2008"
            End If
        Case 5.2
            If GetSystemMetrics(SM_SERVERR2) Then
                OSName_ = "Windows Server 2003 R2"
            ElseIf osi.wSuiteMask And VER_SUITE_STORAGE_SERVER Then
                OSName_ = "Windows Storage Server 2003"
            ElseIf osi.wProductType = VER_NT_WORKSTATION And Bitness_ = "x64" Then
                OSName_ = "Windows XP"
                Edition_ = "Professional"
            Else
                OSName_ = "Windows Server 2003"
            End If
        Case 5.1
            OSName_ = "Windows XP"
            If osi.wSuiteMask = VER_SUITE_PERSONAL Then
                Edition_ = "Home Edition"
            Else
                Edition_ = "Professional"
            End If
        Case 5
            OSName_ = "Windows 2000"
            If osi.wProductType = VER_NT_WORKSTATION Then
                Edition_ = "Professional"
            Else
                If osi.wSuiteMask And VER_SUITE_DATACENTER Then
                    Edition_ = "Datacenter Server"
                ElseIf osi.wSuiteMask And VER_SUITE_ENTERPRISE Then
                    Edition_ = "Advanced Server"
                Else
                    Edition_ = "Server"
                End If
            End If
        Case Else
            OSName_ = "Windows Unknown" & "(ver. " & MajorMinor_ & ") (" & "Build: " & osi.dwBuildNumber & ")"
    End Select

Скрыть

[regist]

Можно ли сделать что-то наподобие этого:

Dragokas, как раз из-за этого и просили добавить в лог название ОС, что по билдам вечно была путаница. Так что пользы будет меньше чем сейчас. Если менять, то чтение ключа реестра на определение через WinAPI.