Страница 3 из 4 Первая 1234 Последняя
Показано с 41 по 60 из 80.

Вышла новая версия антивирусной утилиты AVZ - 4.45

  1. #41

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #42
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,530
    Вес репутации
    739
    Зайцев Олег, посмотрите HTML лог отсюда| зеркало.
    Во всем логе отсутсвуют закрывающие теги </tr> и </td>
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    - они сбивают форматирование. Добавил экранирование таких спец. символов, что решит проблему
    Периодически постоянно вылазиют подобные проблемы из-за не экранированных символов, может можно использовать команду HTMLEncode ?

  4. #43
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,686
    Вес репутации
    3075
    Цитата Сообщение от regist Посмотреть сообщение
    Периодически постоянно вылазиют подобные проблемы из-за не экранированных символов
    Сегодня на всех форумах вижу просто массово эти глюки
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #44
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    107
    Вес репутации
    51
    Можно ли в утилиту "Ревизор" добавить игнорирование симлинков, то есть пропуск файлов с атрибутами FILE_ATTRIBUTE_REPARSE_POINT | FILE_ATTRIBUTE_SPARSE_FILE ?
    А то сейчас при сравнении с базой в лог выводит:
    Код:
    c:\programdata\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Microsoft\Search\Data\Applications\Windows\mss0005e.log = File created
    HiJackThis developer team, CMD/VBS expert

  6. #45
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,530
    Вес репутации
    739
    Цитата Сообщение от regist Посмотреть сообщение
    не видит вирусного VBS скрипта прописанного в Userinit
    Сегодня AVZ его наконец увидел, но имхо, лучше бы он и дальше его не видел чем так. Вот из XML лога
    Код HTML:
    <ITEM File="C:\Windows\system32\wscript.exe" CheckResult="-1" Enabled="-1" Type="REG" Size="198144" Attr="rsAh" CreateDate="21.11.2014 15:08:16" ChangeDate="28.12.2015 12:09:29" MD5="1918D6622E7B9B8F03F7AFCDC6E9E75B" Vendor="Microsoft Corporation" Product="Microsoft ® Windows Script Host" OFN="wscript.exe.mui" Ver="5.8.7601.18283" IsPE="1" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Userinit" X4="wscript C:\Windows\run.vbs" Is64="0"/>
    В качестве левого (вирусного) файла прописанного в Userinit отображается и предлагается к удалению wscript.exe вместо run.vbs

    А также заодно вопрос, разве подобная строка не должна была подсветиться CheckResult="3" ?

    Пример лога.

  7. #46
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,408
    Вес репутации
    925
    WBR,
    Vadim

  8. #47
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    107
    Вес репутации
    51
    Если изменена кодовая страница (язык для неюникодных программ стоит English), AVZ не может получить доступ процессам (и не только), в пути к которым есть русские символы. Как результат - вешает на них подозрение на руткит.
    И только по логу Check Browser's LNK видно в чем причина.

    Комплект логов прилагаю.
    Вложения Вложения
    HiJackThis developer team, CMD/VBS expert

  9. #48

  10. #49
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    2,376
    Вес репутации
    92
    Подтверждаю.
    +
    С последними базами в разных логах разных систем видим:
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
    Протокол антивирусной утилиты AVZ версии 4.46
    Сканирование запущено в 21.07.2016 09:30:43
    Загружена база: сигнатуры - 229835, нейропрофили - 2, микропрограммы лечения - 51, база от 21.07.2016 04:00

  11. #50
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    514
    Доброго времени.
    Обнаружил глюк парсера. Объясню на примере.
    1) Находим драйвер, не значащийся как безопасный. Условие: Название файла образа отличается от имени сервиса.
    Например дров от Асуса. Имя - "ATP", имя файла - "AsusTP.sys".
    2) Сносим все права на ветку АТР.
    3) Даем права текущему пользователю.
    4) Копируем в \system32\drivers avz.exe, переименовываем в "atp.sys" (по имени сервиса).
    5) Запускаем AVZ нормальный, и видим, что по данным АПИ файл образа "atp.sys", и опознан как безопасный.
    Ругани на странные "права" нет.
    После перезагрузки, правда, SCM этот сервис в упор не видит ))
    PS: Я знаю причину глюка. Судя по методам обозначения путей к файлам в этом разделе, винду писали, покуривая турбокальян.
    У меня будет свой Internet, без MMORPG и порно-див!

  12. #51
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,530
    Вес репутации
    739
    мелочь, но ...



    и исправить ведь это не сложно. В правом нижнем углу цифры обрезаются. Надо немного увеличить размер поля.
    Скрин сделан на ноуте с разрешением экрана 1024х768.

  13. #52
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    2,376
    Вес репутации
    92
    В секции "задач" попалась такая строка:

    Screenshot_45.jpg

    Может так и должно быть? Но кажется что-то все же не так.

  14. #53
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,530
    Вес репутации
    739
    http://virusinfo.info/attachment.php...4&d=1476304061 отзеркалил сюда/
    В XML логе продублированы секци <NET_DIAG> и <WMI_INFO> и при этом ещё у первой секции <NET_DIAG> нет закрывающего тега
    Ранее писал о подобном тут, да и после несколько раз встречал такое. Так что это какая-то ошибка в AVZ которая периодически повторяются из-за которой получаются битые XML логи.

  15. #54

  16. #55
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,530
    Вес репутации
    739
    Зайцев Олег, здесь в карантине пример задания для запуска браузера с рекламной ссылкой, которое не видит AVZ.
    Если возможно, то желательно для браузеров хотя бы для основных при запуске с такими аргументами подсвечивать CheckResult="3" по аналогии как происходит при запуске CMD с такими параметрами.

  17. #56
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,530
    Вес репутации
    739
    Сайт http://z-oleg.com/ лежит

    This Domain Name is Suspended

    The domain name you have entered is not available. It has been taken down because the email address of the domain holder (Registrant) has not been verified.

    If you are the Registrant of this domain name, please contact your domain registration service provider to complete the verification and activate the domain name.

    NOTE: It may take upto 48 hours after verification for the domain name to start resolving to its website again.

  18. #57
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3394
    Цитата Сообщение от regist Посмотреть сообщение
    Сайт http://z-oleg.com/ лежит
    Увы лежит ... хотсер agava, которые домен мой поддерживал и предоставлял услуги хостинга в течении 12 лет, взял и передал всех своих клиентов в REG.RU. Причем передали криво, забив в моем случае вместо актуального и подтвержденного e-mail выкопанный где-то мой старый адрес. В итоге возник определенный глюк, хотя я владелец домена и все оплачено. Техподдержка REG.RU естественно в курсе (так как проблема массовая для клиентов agava), есть пошаговый регламент действий, я естественно необходимые документы для верификации направил и они уже в работе, процесс идет. Но я подозреваю, что как минимум те самые 48 часов процесс будет тянуться. Резервный домен в зоне RU проблема перехода не затронула, так что по адресу http://z-olegcom.420.com1.ru сайт доступен. Равно как работает зеркало обновления баз на VirusInfo.

  19. #58
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Matias
    Регистрация
    02.01.2008
    Адрес
    Moscow
    Сообщений
    1,047
    Вес репутации
    391
    Мастер устранения проблем AVZ почему-то выявил нарушение ассоциации REG-файлов, который и в помине нет. Они открываются редактором реестра, как им и полагается. Никто не сталкивался с таким глюком утилиты?
    Просьба обращаться на "вы".

  20. #59
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,530
    Вес репутации
    739
    Matias,
    То что открываются это не значит, что в реестре значение соответствует эталону. Может там отличается на кавычки или другую мелочь в результате и находит эту проблему. Сравните текущее значение со значением после исправления и поймёте из-за чего.


    Зайцев Олег, задания на запуск браузера до сих пор не отображается в логе, если исполняемый файл браузера проходит по базе безопасных.
    И полиморф не обновлялся уже почти год.

  21. #60
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,530
    Вес репутации
    739
    По свежему полиморфу, то что успел пока протестировать.

    1) Пишем скрипт
    Код:
    procedure IsTermSession;
    
    begin
     ShowMessage('Проверка терминальной сессии');
    end;
    
    begin
    IsTermSession;
    end.
    Проверяем редактором скриптов либо текущей релизной версией AVZ и убеждаемся, что ошибок нет.
    Затем проверяем скрипт свежим полиморфом и получаем ошибку.

    2) http://virusinfo.info/showthread.php...=1#post1419532 - похоже исправлено, таки задания теперь выводятся в лог, что радует .

    3) http://virusinfo.info/showthread.php...=1#post1364007 чистки реестра при удаление заданий всё ещё нет.

    4) Возможно побочный эффект от экранирования угловых скобок в командной строке Хрома

    Код:
    Командная строка: <BR>"C:\Users\Админ\Desktop\avz.exe"
    Сам лог здесь.

    5) Слишком агресивен стал к системным файлам, ругаясь на них "Подозрение на RootKit". Смотреть внизу лога из пункта №4.
    В автокарантин при выполнение стандартного скрипта №8 эти файлы не попали.

    6) По прежнему на x64 слишком у многих системных файлов "ошибка получения информации о файле", при том что на x32 такой ошибки нет. Так что похоже бага с редиректором при доступе к системным файлам.

    7) Не знаю считать за багу или нет, но 7-ке система берёт путь к файлу Hosts не из реестра, а системной библиотеки. А AVZ даже в менеджере файла Hosts предлагает редактировать тот файл к которому указан путь в реестре (при том, что это получается фейк если изменить путь в реестре).

    - - - - -Добавлено - - - - -

    По первому пункту похоже это не бага, а пасхальное яйцо в ввиде новой скриптовой команды

Страница 3 из 4 Первая 1234 Последняя

Похожие темы

  1. Вышла новая версия антивирусной утилиты AVZ - 4.43
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 223
    Последнее сообщение: 04.09.2015, 14:06
  2. Вышла новая версия антивирусной утилиты AVZ - 4.41
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 81
    Последнее сообщение: 23.02.2014, 14:01
  3. Вышла новая версия MHDD
    От ALEX(XX) в разделе Софт - общий
    Ответов: 4
    Последнее сообщение: 12.07.2006, 08:17
  4. Вышла новая версия NOD 32.
    От kvit в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.06.2005, 12:35
  5. Вышла новая версия FireFox
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 14.05.2005, 12:11

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01173 seconds with 18 queries