Страница 1 из 12 1234511 ... Последняя
Показано с 1 по 20 из 224.

Вышла новая версия антивирусной утилиты AVZ - 4.43

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411

    Вышла новая версия антивирусной утилиты AVZ - 4.43

    Вышла новая версия антивирусной утилиты AVZ - 4.43. Архив с утилитой содержит базу вирусов от 23.02.2014 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 405 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 649446 подписей безопасных файлов.

    Основные модификации:
    [++] Новый функционал - диагностика сети для выявления проблем, создаваемых вредоносными программами (диагностические операции находятся в обновляемой БД)
    [++] Добавлена эвристика для обнаружения вредоносных заданий планировщика
    [++] Редактор скриптов - подсветка синтаксиса, всплывающее меню редактора и поддержка типовых горячих клавиш
    [++] Фильтр в менеджере автозапуска (отображение всех или только неопознанных по БД чистых)
    [++] Окно редактирования и выполнения скрипта : добавлена подсветка синтаксиса, выделение цветом специфических команд скрипт-языка AVZ, отображение строки и столбца курсора, поддерживаются стандартные клавиатурные сочетания типа Ctrl+A)
    [+] Вывод MD5 по процессам в HTML отчет
    [+] Вывод полного названия версии ОС в протокол и XML
    [+] Доработана стратегия карантина (повышение качества карантина на x64, улучшен парсер)
    [+] В просмотре карантина добавлено отображения сведений по выделенным файлам (количество и суммарный размер)
    [+/-] Работа параметра spoollog изменена (если не указан полный путь, то он отсчитывается от каталога AVZ)
    [+/-] В XML версия файлов выведена в формате x.x.x.x
    [+/-] В описании задания планировщика в XML выведены все поля (ранее часть была доступна только в HTML логе, новые поля JobName, Status и FullCmd)
    [+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов
    [-] Исправлена ошибка парсера имени файла в автозапуске и диспетчере процессов (было доступно в 4.41 через обновление баз)
    [-] XML: Исправлена ошибка с дублирование имени параметра в XML, из за чего лог не проходил верификацию парсеров XML
    [-] XML: Исправлена ошибка с отсутствием пробелов между параметрами в XML, из за чего лог не проходил верификацию парсеров XML
    [-] Исправлена ошибка с локализацией MessageDlg (в английской локализации были русские надписи на кнопках)

    Страница загрузки на обычном месте: http://www.z-oleg.com/secur/avz/download.php
    Последний раз редактировалось Зайцев Олег; 23.02.2014 в 15:16.

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  4. #2
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.06.2006
    Сообщений
    103
    Вес репутации
    69

    Изображения Изображения

  5. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Нужно обновить базы или архив, и все будет как положено

  6. #4
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.06.2006
    Сообщений
    103
    Вес репутации
    69
    да, теперь нормально

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    После выполнения стандартного скрипта №3 на Windows 8.1 32 битная с медиа центром компьютер начинает немного подтормаживать и в конце концов падает в BSOD. Выполнение 2 стандартного скрипта проходит нормально.

    Вложение 463393
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  8. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от mike 1 Посмотреть сообщение
    После выполнения стандартного скрипта №3 на Windows 8.1 32 битная с медиа центром компьютер начинает немного подтормаживать и в конце концов падает в BSOD. Выполнение 2 стандартного скрипта проходит нормально.

    Вложение 463393
    Примерно понятно, в чем дело. Такого быть не должно, можно с указанного ПК получить лог, образовавшийся после завершения скрипта 2 ?

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Вот. После окончания выполнения 3 стандартного скрипта компьютер спустя минуту-две упал в BSOD.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Вот. После окончания выполнения 3 стандартного скрипта компьютер спустя минуту-две упал в BSOD.
    Спасибо. Обновил базы AVZ, в теории падение в BSOD должно пропасть.

  11. Это понравилось:


  12. #9
    Junior Member Репутация Аватар для Samhit
    Регистрация
    25.12.2012
    Адрес
    Калужская обл.
    Сообщений
    389
    Вес репутации
    44
    Олег, как ваша программа реагирует на насильственно-маркетиговые внедрения? Когда сами собой подвешиваются подписки? Или в данном случае все зависит от самого пользователя? (Для примера - мегафон.про. Появляется совершенно независимо от клиента, а потом очень неприятные разборки с провайдером). На такие фокусы сети она реагирует?
    Дорогу осилит идущий...

  13. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Браузер самостоятельно открывает влкадки через опрделенное время с рекламой (заявка № 155426) - зловред с MD5="B0766BC92DC9444730CC38912981E5A4" почему-то попал в базу проверенных.

    Подмена стартовой страницы (заявка № 155766) - обьект в автозапуске:
    Код:
    C:\Program Files (x86)\Norton Security\MUI\18.7.0.13\19\01\rcSvcHst.dll
    опять раздуплило.
    WBR,
    Vadim

  14. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от Samhit Посмотреть сообщение
    Олег, как ваша программа реагирует на насильственно-маркетиговые внедрения? Когда сами собой подвешиваются подписки? Или в данном случае все зависит от самого пользователя? (Для примера - мегафон.про. Появляется совершенно независимо от клиента, а потом очень неприятные разборки с провайдером). На такие фокусы сети она реагирует?
    Подписки - это же сотовый телефон и услуги оператора, тут AVZ не поможет.

    Добавлено через 3 минуты

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    1. Браузер самостоятельно открывает влкадки через опрделенное время с рекламой (заявка № 155426) - зловред с MD5="B0766BC92DC9444730CC38912981E5A4" почему-то попал в базу проверенных.


    2. Подмена стартовой страницы (заявка № 155766)
    - обьект в автозапуске:
    Код:
    C:\Program Files (x86)\Norton Security\MUI\18.7.0.13\19\01\rcSvcHst.dll
    опять раздуплило.
    1. Это легитимная в общем-то программа, ставится с легальным софтом - а по сути адварь. Я выкинул ее из БД чистых AVZ, она будет появляться в логах...
    2. Это нормально - сложный путь с кучей точек, вот парсер и перестарался. Я совершенствую его, чтобы свести к минимуму подобные эффекты
    Последний раз редактировалось Зайцев Олег; 25.02.2014 в 11:21. Причина: Добавлено

  15. Это понравилось:


  16. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    По багам из этого поста.

    1) Баг с тем, что не экранируется <local> не исправлен.
    Код HTML:
      <Key RegKey="HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" Name="ProxyOverride" VAL="<local>" />
    вот лог AVZ сделанный версией 4.43

    2) Баг, что не всегда экранируются кавычки, остался http://rghost.ru/52684645
    Код HTML:
    <ITEM File=".dll" CheckResult="-1" Enabled="-1" Type="?" X1="HKEY_LOCAL_MACHINE" X2="System\CurrentControlSet\Control\Lsa" X3="Security Packages" X4="""" Is64="0"
    По прежнему не понятно, откуда в этом логе берётся File=".dll" экспорт этого ключа есть здесь (в пункте №5).
    Если это поможет вот ещё лог сделанный версий 4.42.152 private build

    Скрытый текст

    Код HTML:
    PROCESS>
    <ITEM PID="1916" File="d:\Мои документы\autologger.exe" CheckResult="-1" Descr="Автоматический сборщик логов" LegalCopyright="Все права на AutoLogger принадлежат regist & Drongo © Copyright 2013" Hidden="0" CmdLine=""D:\Мои документы\AutoLogger.exe" " Size="19618869" Attr="rsAh" CreateDate="21.02.2014 20:07:47" ChangeDate="21.02.2014 01:00:04" MD5="DE9B6D47DB2C6C8214CF6A5E442319AD" Vendor="Company © regist & Drongo" Product="AutoLogger" OFN="AutoLogger.exe" Ver="1.0.0.1" NationalName="Y" IsPE="1"/>
    <ITEM PID="4428" File="d:\Мои документы\autologger\avz\avz.exe" CheckResult="-1" Descr="" LegalCopyright="" Hidden="0" CmdLine=""D:\Мои документы\AutoLogger\AVZ\avz.exe" Script=AVZ\Script2.txt HiddenMode=0" Size="9316352" Attr="rsAh" CreateDate="21.02.2014 20:09:11" ChangeDate="17.02.2014 22:31:05" MD5="F3D80ED906772BB0574720DB65C8A43C" NationalName="Y" IsPE="1"/>
    <ITEM PID="4028" File="c:\program files\common files\doctor web\scanning engine\dwarkdaemon.exe" CheckResult="-1" Descr="Dr.Web Anti-Rootkit Server" LegalCopyright="Copyright (c) Doctor Web, Ltd., 1992-2014" Hidden="0" CmdLine=""C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe" -arkpipe:\pipe\ARServer" Size="774448" Attr="rsAh" CreateDate="19.02.2014 22:23:18" ChangeDate="19.02.2014 22:33:12" MD5="0E677D60EF39CEA96983BB1573EC5628" Vendor="Doctor Web, Ltd." Product="Dr.Web Anti-Virus" OFN="dwarkdaemon.exe" Ver="9.0.8.2070" IsPE="1"/>
    <ITEM PID="4208" File="c:\program files\common files\doctor web\scanning engine\dwengine.exe" CheckResult="-1" Descr="Dr.Web Scanning Engine" LegalCopyright="Copyright (c) Doctor Web, Ltd., 1992-2014" Hidden="0" CmdLine="watcher 3468 524 dwe-spider-d8c-1cf2f18c1e9ddee-watch" Size="2665008" Attr="rsAh" CreateDate="19.02.2014 22:23:18" ChangeDate="19.02.2014 22:33:11" MD5="3093F7A2509892170B99C261ACA331D2" Vendor="Doctor Web, Ltd." Product="Dr.Web Anti-Virus" OFN="dwengine.exe" Ver="9.0.8.2070" IsPE="1"/>
    <ITEM PID="3468" File="c:\program files\common files\doctor web\scanning engine\dwengine.exe" CheckResult="-1" Descr="Dr.Web Scanning Engine" LegalCopyright="Copyright (c) Doctor Web, Ltd., 1992-2014" Hidden="0" CmdLine=""C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe"" Size="2665008" Attr="rsAh" CreateDate="19.02.2014 22:23:18" ChangeDate="19.02.2014 22:33:11" MD5="3093F7A2509892170B99C261ACA331D2" Vendor="Doctor Web, Ltd." Product="Dr.Web Anti-Virus" OFN="dwengine.exe" Ver="9.0.8.2070" IsPE="1"/>
    <ITEM PID="2016" File="C:\Program Files\DrWeb\dwservice.exe" CheckResult="-1" Descr="Dr.Web Control Service" LegalCopyright="Copyright © Doctor Web, Ltd., 1992-2014" Hidden="1" CmdLine="" Size="8880896" Attr="rsAh" CreateDate="19.02.2014 22:23:32" ChangeDate="19.02.2014 22:33:18" MD5="C71868013CDD08EA503E560C4FCC6D4E" Vendor="Doctor Web, Ltd." Product="Dr.Web ®" OFN="dwservice.exe" Ver="9.0.6.1271" IsPE="1" IsPE64="1"/>
    <ITEM PID="320" File="d:\mazila\firefox.exe" CheckResult="-1" Descr="Firefox" LegalCopyright="©Firefox and Mozilla Developers; available under the MPL 2 license." Hidden="0" CmdLine=""D:\Mazila\firefox.exe" " Size="275568" Attr="rsAh" CreateDate="19.02.2014 13:16:00" ChangeDate="13.02.2014 04:36:25" MD5="D9184C5FF3FD526761D518A95ABA74A3" Vendor="Mozilla Corporation" Product="Firefox" OFN="firefox.exe" Ver="27.0.1.5156" IsPE="1"/>
    <ITEM PID="2684" File="C:\Program Files\DrWeb\frwl_notify.exe" CheckResult="-1" Descr="Dr.Web Firewall for Windows notify module" LegalCopyright="© Doctor Web, Ltd., 1992-2014" Hidden="1" CmdLine="" Size="2493720" Attr="rsAh" CreateDate="19.02.2014 22:23:41" ChangeDate="19.02.2014 22:23:41" MD5="1129189D42C2BA0B91C6D1F642573C1B" Vendor="Doctor Web, Ltd." Product="Dr.Web ®" OFN="frwl_notify.exe" Ver="9.0.4.1210" IsPE="1" IsPE64="1"/>
    <ITEM PID="1668" File="C:\Program Files\DrWeb\frwl_svc.exe" CheckResult="-1" Descr="Dr.Web Firewall for Windows service" LegalCopyright="© Doctor Web, Ltd., 1992-2014" Hidden="1" CmdLine="" Size="1796096" Attr="rsAh" CreateDate="19.02.2014 22:23:41" ChangeDate="19.02.2014 22:23:41" MD5="83C840C35478B8D6CFFEC2C73B8AA38C" Vendor="Doctor Web, Ltd." Product="Dr.Web ®" OFN="frwl_svc.exe" Ver="9.0.4.1210" IsPE="1" IsPE64="1"/>
    <ITEM PID="3928" File="c:\program files (x86)\internet explorer\iexplore.exe" CheckResult="0" Descr="Internet Explorer" LegalCopyright="© Корпорация Майкрософт. Все права защищены." Hidden="0" CmdLine=""C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:1812 CREDAT:275457 /prefetch:2" Size="806096" Attr="rsAh" CreateDate="15.01.2014 19:10:03" ChangeDate="15.01.2014 19:10:03" MD5="C8A8321292A459B0A17FB39A782A5C74" Vendor="Microsoft Corporation" Product="Internet Explorer" OFN="IEXPLORE.EXE.MUI" Ver="11.0.9600.16428" IsPE="1"/>
    </PROCESS>
    Скрыть

    Как видим почти у всех процессов в секции <PROCESS> у параметра CmdLine="" сдвоенные (не экранированные) кавычки.

    3) Ключ автозапуска в реестре на запуск браузера с командной строки по прежнему не видит баг воспроизвёлся на 7 х64, 8.1 x64 при этом браузер успешно стартует. Лог выложенный мной в предыдущем пункте с windows 8.1 как раз сделан с системы, где добавлен этот ключ. Как видим этот ключ который создаётся малварой ("babakan" сейчас очень популярен) AVZ не (всегда ?) видит на этих системах.

    4) AVZ также не видит ярлык в автозагрузке указывающий на такое расположение
    Код:
    C:\WINDOWS\system32\regsvr32.exe /n /i /s trojan.dll
    Пример темы где подобный способ был использован вирусописателями здесь.

    5) Баг с завершения процесса на х64 системах у меня больше не воспроизводится.

    Но остался вопрос, что за команда KillProcess ? Она по прежнему у меня выдаёт ошибку Ошибка [2, KILLPROCESS].
    6) SpoolLog лог тоже теперь отрабатывает нормально.

    7) regedit из менеджера автозагрузки теперь как и нужно открывается на просматриваемом ключе.

    8 ) Хотелось бы чтобы в справку было добавлено описание с примерами команды Ping.
    В частности я относительно часто использую вот такой слегка модифицированные скрипт от Vvvyg

    Код:
    var
    STR : TStringList;
    CMDFile: string;
    begin
    ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
    STR := TStringList.Create;
    STR.Add('ipconfig /all > diag.log');
    STR.Add('ping vk.com >> diag.log');
    STR.Add('tracert vk.com >> diag.log');
    STR.Add('nslookup vk.com 8.8.8.8>> diag.log');
    STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
    CMDFile:= GetAVZDirectory + 'diag.cmd';
    ExecuteFile(CMDFile, '', 0, 200000, true);
    ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
    DeleteFile(GetAVZDirectory + 'diag.log');
    DeleteFile(GetAVZDirectory + 'diag.cmd');
    end.
    С учётом появления команды Ping его можно было бы обновить, да и в других места она думаю нашла бы применение.

    9) AVZ проверяет и выводит в лог информацию запущено AVZ с учетки пользователя с правами администратора или нет. С помощью команд AVZ скриптом это можно посмотреть/проверить? Если такой команды нет, то хотелось бы чтобы она была добавлена.

  17. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    По багам из этого поста. 1...9
    1,2. Ерунда какая-то, буду проверять, в чем дело. Двойные кавычки видны где - в XML при просмотре блокнотом, или IE ? Если в IE, то это не баг, а фича - он при отображении XML экранированные символы показывает как надо, но выделяет цветом - кавычки в тексте строки вокруг нее отличаются. При копировании из IE цветовое выделение теряется и визуально выглядит как неэкранированный символ.
    По ".dll" все просто - когда идет поиск файла, там задается ожидаемое расширение, которое используется в качестве дефолтного. При пустом пути они не должно применяться, проверю
    3. Нужны примеры таких ключей, чтобы мне не искать (чем больше, тем лучше), настрою парсер на их обнаружение
    4. Изменил. Базы обновлены, можно пробовать
    5. Это хорошо, помечу его как пофикшенный
    6. KillProcess - мертвая команда. Когда-то была, для внутренних целей, сейчас в документации она не описана, и оставлена для совместимости. При попытке вызова пишет в лог ошибку
    7. Это глюк, причем регедита (там же ключ нельзя открыть документированным путем. Можно только "проиграть" окну процесса последовательность нажатий клавиш и надеяться, что откроется что надо. Любое несоответствие по задержкам, наличие утилит типа Punto - и все, сбой
    8. Сейчас она пока недокументированная, не факт, что в ней ничего не поменяется. К следующей версии она будет описана в справке в своем итоговом виде.
    9. Такой команды скрипта нет, добавить ее можно, толку будет мало. Дело в том, что скажем Win7 + UAC сообщает любому приложению, что права админа есть (а на деле или виртуализация записи в реестр, или блокировка)

  18. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    2) Двойные кавычки в приложенном логе отобразились нормально, значит действительно из-за браузера ошибся. Но ещё понаблюдаю за логами.

    3) Ключ выкладывал в том посте, на всякий случай дублирую

    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Babakan"="cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://virusinfo.info && exit)"
    Повторюсь, что на х86 нормально видит. Баг только на х64. Насчёт других ключей не проверял, аналогичную запись (просто с другим сайтом) очень часто вижу в разделе помогите поэтому её и протестировал.

    7) Я имел ввиду что в версии 4.43 он у меня нормально открылся - исправлено, а на 4.42.152 private build баг у меня воспроизводился.

    9) Хотелось, чтобы добавили. А для обхода UAC при необходимости можно вставить запрос на элевацию прав.

    И ещё забыл спросить, вот такая строка в логе, это нормально?
    Код:
    \\?\C:\ProgramData\Microsoft\Windows\DRM\Cache\Indiv_SID_S-1-5-20\Indiv01.key
    подобный путь не должен исправляться? Несколько раз за последнее время видел подобную строчку.

    P.S. и по добавлению новых фич. Хотелось бы ещё добавление работы с ZIP архивом и команду для получения информации о дате обновления баз.

  19. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    .... P.S. и по добавлению новых фич. Хотелось бы ещё добавление работы с ZIP архивом и команду для получения информации о дате обновления баз.
    2. я так и думал - так как вроде всюду есть экранирование, на указанных параметрах точно есть и кавычки пролезть не могли
    3. Базы обновились, можно попробовать - в теории такие ключи должны гарантировано попадать в логи и помечаться цветом как подозрительные
    9. Хорошо, добавлю

    Про "\\?\": в начале пути он должен отрезаться, в текущих правилах такое прописано. Но есть важная тонкость - если парсер видит, что путь корректный и позволяет открыть файл на диске, то парсинг не проводится и парсер не трогает имя и не обрабатывает его правилами, возможно как раз мы видим работу этой логики

  20. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    3. Базы обновились, можно попробовать - в теории такие ключи должны гарантировано попадать в логи и помечаться цветом как подозрительные
    да, теперь попадают даже на х64 системах и ярлыки про которые писал выше тоже попали в лог и подсвечиваются.



    По ярлыкам вопрос
    Код HTML:
    <ITEM File="C:\WINDOWS\system32\regsvr32.exe /n /i /s miqiomjx.uwy" CheckResult="3" Enabled="1" Type="LNK" X1="C:\Documents and Settings\User\Start Menu\Programs\Startup\" X2="C:\Documents and Settings\User\Start Menu\Programs\Startup\regsvr32.exe.lnk" X3="" X4="" Is64="0"
    Type="LNK" - означает ли это, что если у этой записи в логе HTML нажать удалить, то будет удалён этот ярлык? Если нет, то можно добавить кнопку удалить аналогично, как это сделано у ключей реестра?

  21. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) А исправить экранирование VAL="<local>" возможно будет только выпустив новую версию AVZ ?
    2) Заметил ещё, что в XML логе параметр Is64="" присутствует только в секции <AUTORUN>, а в остальных секциях его нет .

  22. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от regist Посмотреть сообщение
    1) А исправить экранирование VAL="<local>" возможно будет только выпустив новую версию AVZ ?
    2) Заметил ещё, что в XML логе параметр Is64="" присутствует только в секции <AUTORUN>, а в остальных секциях его нет .
    1. А где этот параметр неправильный ? Нужен пример ... если в диагностике сети, то там установлено экранирование. Не исключено, что файл базы не попал в апдейт, обновил принудительно.
    2. Он есть в списке процессов (где точно известна разрядность процесса) и главное, в автозапуске - там сканируются ключи как x32, так и x64 (за счет включения и выключения редиректора)

  23. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) Да, в диагностике сети. После сегодняшнего обновления баз ошибка ушла.
    2) Перепроверил в XML логе есть только в секции автозапуск, в секции процессы параметра Is64 нету. И в HTML при генерации команды удаления для скрипта этот параметр вставляется для файлов из любой секции. Почему тогда это не отображать и во всех секциях XML лога?

  24. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    По словам пользователя после выполнения 7 стандартного скрипта компьютер не грузится.

    Тема: http://forum.kaspersky.com/index.php?showtopic=289435
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Страница 1 из 12 1234511 ... Последняя

Похожие темы

  1. Вышла новая версия антивирусной утилиты AVZ - 4.41
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 81
    Последнее сообщение: 23.02.2014, 15:01
  2. Вышла новая версия PostgreSQL
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 01.07.2009, 21:08
  3. Вышла новая версия MHDD
    От ALEX(XX) в разделе Софт - общий
    Ответов: 4
    Последнее сообщение: 12.07.2006, 09:17
  4. Вышла новая версия NOD 32.
    От kvit в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.06.2005, 13:35
  5. Вышла новая версия FireFox
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 14.05.2005, 13:11

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00850 seconds with 18 queries