Страница 4 из 4 Первая 1234
Показано с 61 по 80 из 80.

Вышла новая версия антивирусной утилиты AVZ - 4.45

  1. #61
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Похоже, что и этот полиморф не видит вирусные задания. В логе HiJackThis видно
    Код:
    O22 - ScheduledTask: (Ready) httphophitnewsruenergysm - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hophitnews.ru/energysm
    А свежий полиморфный AVZ его не увидел, а сейчас такие задания в половине тем раздела лечения.
    Архив с логами тут, на случай если юзер удалит зеркало.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #62
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    109
    Вес репутации
    67
    1) Скидываю пару логов с Windows 8.1 (один со стандартными настройками, другой с включенным "Юзыком для программ, не поддерживающим юникод" => English (USA)).
    В списке процессов видим ????????.exe, вместо русского. При этом в колонке "Information" имя указано верно. Об этой ошибке писал ранее.

    2) ОС Win10x64 - Во второй таблице, в колонке "Используется процессами" у всех модулей закрались лишние теги:
    <a href="#proc_3580">3580</a>
    Ссылка на лог.
    Еще: имя файла: .dll - старая ошибка (расширение без имени файла). Если тяжело локализовать, можно ведь просто постфактум воткнуть костыль, чтобы не выводить это в лог.

    3) Также при отключении "Восстановления системы" в логе пишет, что System Restore: enabled

    4) Также:
    >>>> Suspicion for process file masking: C:\Windows\System32\wininit.exe
    >>>> Suspicion for process file masking: C:\Windows\System32\winlogon.exe
    >>>> Suspicion for process file masking: C:\Windows\System32\lsass.exe
    >>>> Suspicion for process file masking: C:\Windows\System32\dwm.exe
    >>>> Suspicion for process file masking: C:\Windows\System32\spoolsv.exe
    >>>> Suspicion for process file masking: C:\Windows\System32\msdtc.exe
    >>>> Suspicion for process file masking: C:\Windows\System32\WUDFHost.exe
    >>>> Suspicion for process file masking: C:\Windows\System32\taskhostex.exe
    Замечу, что это чистая эталонная система Win 8.1 (без обновлений).

    5) Также, ИМХО, не вижу смысла выводить:
    Analysis: kernel32.dll, export table found in section .rdata
    Function kernel32.dll:ReadConsoleInputExA (1094) intercepted, method - ProcAddressHijack.GetProcAddress ->777126DA->755BCDE1
    Function kernel32.dll:ReadConsoleInputExW (1095) intercepted, method - ProcAddressHijack.GetProcAddress ->7771270D->755BCE05
    Analysis: ntdll.dll, export table found in section .text
    Function ntdll.dll:NtCreateFile (26 intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C140->7530E8C3
    Function ntdll.dll:NtSetInformationFile (549) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1BE60->7530E83F
    Function ntdll.dll:NtSetValueKey (580) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C1F0->7531C8CD
    Function ntdll.dllwCreateFile (1645) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C140->7530E8C3
    Function ntdll.dllwSetInformationFile (1924) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1BE60->7530E83F
    Function ntdll.dllwSetValueKey (1955) intercepted, method - ProcAddressHijack.GetProcAddress ->77A1C1F0->7531C8CD
    Analysis: user32.dll, export table found in section .text
    Function user32.dll:CallNextHookEx (1531) intercepted, method - ProcAddressHijack.GetProcAddress ->77127633->7530E829
    Function user32.dll:SetWindowsHookExW (2303) intercepted, method - ProcAddressHijack.GetProcAddress ->7712FDA3->7531BAF9
    если есть возможность однозначно идентифицировать, что перехват поставлен MS антивирусом.

    На моей ОС Win 10x64 ещё такое (может, нужна какая доп. инфа?):
    Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
    >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
    Ошибка анализа библиотеки user32.dll
    6) Карантин папки с файлами, имеющими в имени юникодные символы, - не исправлено.

    Hello♣.exe
    opera セッ.lnk

    Ошибка карантина файла, попытка прямого чтения (c:\temp\Hello¦.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (c:\temp\Hello¦.exe)
    Карантин с использованием прямого чтения - ошибка

    Ошибка карантина файла, попытка прямого чтения (c:\temp\opera ??.lnk)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (c:\temp\opera ??.lnk)
    Карантин с использованием прямого чтения - ошибка
    7) Фича с юникодом для DeleteFile не добавлена.

    8 ) Ещё была просьба фильтровать флаг "симлинк" у программы-ревизора.

    9) aitagent /increment - это легитимное задание.

    10) Про ошибки с файловым переадресатором уже не пишу, думаю не сложно воткнуть туда Wow64DisableWow64FsRedirection / Wow64RevertWow64FsRedirection, после чего проверить файл на предмет того, является ли издателем ЭЦП - Майкрософт (CertVerifyCertificateChainPolicy + CERT_CHAIN_POLICY_MICROSOFT_ROOT), и если да, не выводить это в лог вообще или помечать зелёным.

    11) И ещё хотелось бы видеть:
    например, в секции "Автозапуск" и "Printing system extensions" есть файлы без полного пути (только имя), хорошо бы применять к ним функцию PathFindOnPath, чтобы система находила для них полный путь и указывать именно его в логе. К тому же без этой операции невозможно получить доп. инфу о файле (как дату, анализ ЭЦП и т.п.).
    Тоже касается секции "Задания".

    12)
    C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe
    ошибка получения информации о файле
    в секции автозапуск. По факту антивирусный сканер уже давно удалён и файла там нету, т.е. по идее должен был писать нечто вроде "Файл отсутствует". Переадресатор не при чём. Отказов в доступе по правам тоже нет.
    Такая же ошибка актуальна и для секции "Задания".

    13) Модули расширения проводника. (на примере, HashTab) - имя файла вообще не может определить, и ничего не выводит в колонку "Имя файла". Возьмём NirSoft shexview-x64. Как видим, полный путь находит:
    Изображения Изображения
    HiJackThis developer team, CMD/VBS expert

  4. #63
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,208
    Вес репутации
    154
    Цитата Сообщение от regist Посмотреть сообщение
    Похоже, что и этот полиморф не видит вирусные задания
    Подтверждаю. Еще архив с логами.

  5. #64
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Ещё по поводу тестирования полиморфа на предмет ошибок о которых сообщалось в теме после релиза текущей версии.

    1) Проблема с кодировкой при копирование русского текста до сих пор не исправлена. Решение проблемы давно написано здесь.

    2) ZIP_ExtractArchive по справке должно вернуть
    Возвращаемое значение:

    0 - успешное завершение работы
    1 - файл архива не найден (или нет прав доступа к архиву)
    2 - невозможно создать каталог для извлекаемых файлов
    3 - в ходе распаковки возникла непредвиденная ошибка
    4 - архив не является ZIP архивом, или поврежден, или указан неверный пароль
    А на самом деле во всех случаях возвращает Exit code = 4294967295.

    3) По прежнему при прыжке из AVZ в реестр имитируются нажатия клавиш из-за чего порой приходится несколько раз "прыгать в реестр", чтобы открыть нужный ключ. Хотя тут и тут давно был описан способ как сразу открывать нужный ключ.

    4) Наконец AVZ сумел удалить в реестре параметр command в ключе MSConfig, но зато теперь в HTML логе теперь нет кнопки для автоматической вставки этой команды. Раньше была кнопка, но не работало удаление, теперь удаление работает, но нет кнопки.

    5)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    1. В принципе можно что-то смудрить ... при автоанализе это учитывается (там есть дата формирования лога по часам ПК и дата его получения, если первое на сутки больше второго, то значит часы ПК сбиты)
    До сих пор не сделано
    Attention !!! Database was last updated 09.02.2017 it is necessary to update the database (via File - Database update)
    AVZ Antiviral Toolkit log; AVZ version is 4.46 private build
    Scanning started at 15.02.2016 18:59:13
    6)
    Цитата Сообщение от regist Посмотреть сообщение
    В логе XML очень часто параметр SHPath="" пустой. А для JOB файлов он вообще всегда пустой.
    Не исправлено.

    7)
    Цитата Сообщение от Dragokas Посмотреть сообщение
    Если изменена кодовая страница (язык для неюникодных программ стоит English), AVZ не может получить доступ процессам (и не только), в пути к которым есть русские символы.
    Проблема осталась и вместо пути к файлу virusinfo_syscheck nonUnicod.zip. Чуть выше Dragokas, также отписался об этой проблеме, но в моём логе AVZ вообще обрезал путь к файлу в столбце "File name"


    Цитата Сообщение от Dragokas Посмотреть сообщение
    Еще: имя файла: .dll - старая ошибка (расширение без имени файла). Если тяжело локализовать, можно ведь просто постфактум воткнуть костыль, чтобы не выводить это в лог.
    Напомню, что там вообще пустой параметр и файла на самом деле нет. В теме и экспорт его выкладывался, см. пункт №4.

    9)
    Цитата Сообщение от regist Посмотреть сообщение
    В меню лишняя кнопка (пункт) Справка, а как следствие пункт не рабочий (при нажатие ничего не происходит).
    оказывается об этом сообщали ещё в 2014 https://forum.kaspersky.com/index.php?showtopic=313174 но также без ответа.

    10)
    Цитата Сообщение от Dragokas Посмотреть сообщение
    И ещё хотелось бы видеть:
    например, в секции "Автозапуск" и "Printing system extensions" есть файлы без полного пути (только имя), хорошо бы применять к ним функцию PathFindOnPath, чтобы система находила для них полный путь и указывать именно его в логе. К тому же без этой операции невозможно получить доп. инфу о файле (как дату, анализ ЭЦП и т.п.).
    Тоже касается секции "Задания".
    Присоединяюсь к просьбе, тем более сейчас появилась адварь которая прописывает свою .dll в секцию "Модули расширения системы печати".

    11)
    Цитата Сообщение от Dragokas Посмотреть сообщение
    Также при отключении "Восстановления системы" в логе пишет, что System Restore: enabled
    Это актуально как для windows 8 так для windows 10.

    12) Воспроизвёл у себя проблему когда полиморфный AVZ не видит вирусное задание на запуск браузера. Для этого использовал это задание (знаю, что сможете скачать его оттуда, а открыто в теме выкладывать не хочу).

  6. Это понравилось:


  7. #65
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег,
    1) Можно фича-реквест? Получение StdOut в переменную после выполнения ExecuteFile.
    Реализацию можно посмотреть на MSDN: Creating a Child Process with Redirected Input and Output (Windows)
    (там и Input, и Output, а нам нужен только Output, например, какой-то отдельной функцией, или новым опциональным аргументом у ExecuteFile).

    Эта фича поможет получить отладочный вывод некоторых утилит, а также позволит взаимодействовать с любыми консольными программами, без необходимости в костылях вроде отдельного вызова cmd /c process.exe > file.txt с последующим чтением file.txt.

    2)
    >> Services: potentially dangerous service allowed: Schedule (Планировщик заданий)
    Может стоит убрать из HTML лога эту запись? Начиная с Windows Vista и выше эта рекомендация скорее вредна.

    3) http://virusinfo.info/attachment.php...0&d=1487713143
    В архиве логи AVZ собраны свежим полиморфом, но эти вирусные задания
    Код:
    O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8F - \Microsoft - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F287A761F55.exe" /S --setresetup (file missing)
    O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8F - \Microsoft\Windows - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F287A761F55.exe" /S --setresetup (file missing)
    O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8FSB - \Microsoft - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F287A761F55.exe" /S --safebrowser (file missing)
    O22 - ScheduledTask: (Ready) 761F55A782F541F4F08579BAAEA15B8FSB - \Microsoft\Windows - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\9016ED4F119983B068A706C3BB5F9B88\A15B8FEAAB97580F4F145F287A761F55.exe" /S --safebrowser (file missing)
    O22 - ScheduledTask: (Ready) A68B36607-42CA-4906-9C0E-09036C85F6F8 - \Microsoft\Windows - "C:\Users\BeCeJIbIu\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\550F4B4B-00AE-47EB-9C72-BEEC75BB95FB.exe" --update (file missing)
    увидел только новый HiJackThis.
    Отзеркалил лог на случай если юзер удалит.

  8. Это понравилось:


  9. #66
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    109
    Вес репутации
    67
    1) Хочу еще раз напомнить про просьбу ускорить переход к ветке реестра из-под инструмента "Сервис -> Поиск в реестре". Решение описано здесь.

    2) В том же посте, решение с частичным зацикливанием поиска по реестру из-за отсутствия флага KEY_WOW64_64KEY.

    3) Также предлагаю решение проблемы с выводом неверного пути к файлам при запуске AVZ из-под терминальной сессии.

    Вкратце, под терминальной сессией API функция GetWindowsDirectory возвращает неверный путь к папке Windows, а именно - путь к профилю пользователя вместо c:\windows.
    Чтобы решить эту проблему, необходимо проверять, если система Windows Server, то путь к папке виндовс определять не через GetWindowsDirectory, а например, с помощью раскрытия переменной окружения %SystemRoot%. В этой переменной хранится корректный путь к папке Windows, даже если её раскрыть программе, будучи запущенной под терминальной сессией.
    HiJackThis developer team, CMD/VBS expert

  10. #67
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег,
    1) Пора бы уже обновить полиморфный AVZ. И исправление замеченных в нём багов хотелось бы увидеть и за того, что базы там не обновлялись давно логи становятся всё длиннее.

    2) Тут у юзера опять были проблемы с отключением AVZPM. Этот вопрос и раньше несколько раз подымался, в частности тут.


    3) Появилась ещё одна модификация заданий, на момент их карантина на них не было детекта касперского и AVZ разумеется их тоже не видит. Сейчас смотрю уже появился детект HEUR:Trojan.Multi.StartPageTask.b
    Примеры заданий можете посмотреть в карантине по ссылкам:
    http://upload.virusinfo.info/index.p...topicid=209893
    http://upload.virusinfo.info/index.p...topicid=209766
    http://upload.virusinfo.info/show_an...topicid=209790
    http://upload.virusinfo.info/show_an...topicid=209959
    http://upload.virusinfo.info/show_an...topicid=209922
    Последний раз редактировалось olejah; 25.03.2017 в 15:05. Причина: Два одинаковых поста в одном

  11. #68
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег,
    1) Спасибо за обновление полиморфа. Можно узнать список изменений в нём?
    Из того что сразу в глаза бросилось это:
    Наконец убрали этот список подозрительных-системных файлов в низу лога.
    Починили баг появившейся в предыдущем полиморфе, вставка Command line: <BR>"
    Задание планировщика, про которое писал тут в пункте №12 до сих пор не видит.

    2) Заметил довольно серьёзную багу, которая есть и в последней версии полиморфа и в предыдущих версиях AVZ, в частности из старых проверял версии 4.41, 4.43, 4,45. Проявляется не всегда, точней не на всех системах. Для воспроизведения на проблемной системе выполняем такой скрипт
    Код:
    begin
       clearlog;
       ExecuteFile(GetAVZDirectory + 'rsit.exe', '', 1, 15000, false); 
       AddTolog('Код возврата  - ' + IntToStr(GetLastExitCode));
    end.
    rsit.exe - разумеется лежит рядом с AVZ. А ExecuteFile возвращает код ошибки 4294967295.

    Спасибо Dragokas, за помощь, удалось потестировать удалённо эту ошибку на одной XP, где она стабильно воспроизводится. Отработает нормально и с других путей не связанных C:\Documents and Settings\ работает нормально, даже если они содержат в пути пробелы или русские символы.
    А также добавлю, что даже если указывать полный путь, к примеру так
    Код:
     begin
        clearlog;
        ExecuteFile('C:\Documents and Settings\Администратор\Рабочий стол\rsit.exe', '', 1, 15000, false); 
        AddTolog('Код возврата  - ' + IntToStr(GetLastExitCode));
     end.
    То всё равно будет ошибка.

    Для теста создал папку C:\Documents
    и положил туда rsit.exe
    При запуске этого скрипта rsit.exe запустился.

    Вот лог Process Monitor в котором также видна проблема (отфильтрован, чтобы остались события только от AVZ).

    Из-за этой баги AVZ в ряде тем не удалось получить логи с помощью AutoLogger-а, так как очевидно AVZ начинает искать утилиты для запуска совершенно в другой папке и как следствие ошибка запуска процесса.
    Что-нибудь надо дополнительно проверить, чтобы вы исправили эту ошибку?

  12. Это понравилось:


  13. #69
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,208
    Вес репутации
    154
    Подтверждаю наличие описанной выше ошибки. Она проявилась и на Win7 в этой теме.
    С рабочего стола собрались только логи AVZ, а при запуске остальных утилит ошибка запуска процесса. А с корня диска C: - всё отработало нормально.
    Если понадобятся логи, могу предоставить.

  14. #70
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от regist Посмотреть сообщение
    Зайцев Олег,
    Из-за этой баги AVZ в ряде тем не удалось получить логи с помощью AutoLogger-а, так как очевидно AVZ начинает искать утилиты для запуска совершенно в другой папке и как следствие ошибка запуска процесса.
    Что-нибудь надо дополнительно проверить, чтобы вы исправили эту ошибку?
    На текущей сборке полиморфа это проявляется ? Я обновил сегодня сборку, указанные скрипты должны нормально запускать процессы

  15. Это понравилось:


  16. #71
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Я обновил сегодня сборку
    На проблемной XP свежий нормально отработал. Спасибо за исправление. На 7-ке надеюсь Sandor попросит того юзера и тот проверит.

    2) Посмотрите этот дамп падения AVZ ? Похоже вылетает на этапе сканирования системы, это из этой темы.

    3) Список изменений полиморфного AVZ хотя бы относительно полиморфа от 10-го февраля можно узнать? И в частности хочется протестировать эту фишку, если вдруг её уже реализовали.
    Цитата Сообщение от regist Посмотреть сообщение
    Получение StdOut в переменную после выполнения ExecuteFile.
    4) Хочется надеяться, что в релизе новой версии AVZ будет исправлен старый глюк с эмуляцией путей на серверных системах, пример лога.

  17. #72
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Лог, по нему
    1)
    Код:
    \\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\bufferutil\build\Release\bufferutil.node
    \\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\ffi\build\Release\ffi_bindings.node
    \\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\fs-ext\build\Release\fs-ext.node
    \\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\idle-gc\build\Release\idle-gc.node
    \\?\C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCLibrary\js\node_modules\node-vulcanjs\build\Release\VulcanJS.node
    Если не ошибаюсь раньше в AVZ было автообрезания префикса \\?\ при выводе в лог.

    2) Видно, что на последнем полиморфе по прежнему выводятся в список подозрительных легальные системные файлы (это актуально и для windows 7).

    3) Глюк с .dll (без имени) в HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Lsa, Security Packages до сих пор не исправлен.

    Также проверил, что

    4) Задание про которое писал выше (и ссылку на которое выкладывал) последний полиморф до сих пор не видит.

    5)
    Цитата Сообщение от regist Посмотреть сообщение
    Проблема с кодировкой при копирование русского текста до сих пор не исправлена. Решение проблемы давно написано здесь.
    Также до сих пор не сделано.

    Остальное проверять уже не стал, так как всё это перепроверять уходит много времени и не ясно исправляли ли вещи про которые писалось выше или нет.

  18. #73
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,208
    Вес репутации
    154
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Я обновил сегодня сборку, указанные скрипты должны нормально запускать процессы
    С обновленной версией на том же компьютере скрипты отработали нормально, спасибо.

  19. #74

  20. #75
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    1. Последняя версия полиморфа не отображает названия дисков и windows 10.
    Вложение 659400

    2. В логе html неверно определяется статус работы восстановления системы, в логе она всегда отображается как включенная, а в win10 восстановление системы отключено по умолчанию (тест проведен с подачи regist).

    - - - - -Добавлено - - - - -

    Забыл, проверялось на сборке windows 10 16184
    Microsoft Most Valuable Professional in Consumer Security

  21. #76
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от akok Посмотреть сообщение
    В логе html неверно определяется статус работы восстановления системы, в логе она всегда отображается как включенная, а в win10 восстановление системы отключено по умолчанию
    Добавлю, что это двойной баг. В HTML логе показывает всегда, что она включено, в XML лог всегда пишет (даже если включить), что она отключено. То есть в одной паре логов по одной и той же вещи выводится противоположная информация.

  22. #77
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    109
    Вес репутации
    67
    Нашли более простой и надёжный способ решения бага с получением пути к папке windows на сервере терминалов.

    Для этого нужно заменить используемую вами функцию на GetSystemWindowsDirectory(), либо добавить флаг IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE к IMAGE_OPTIONAL_HEADER32.DllCharacteristics.
    HiJackThis developer team, CMD/VBS expert

  23. #78
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) http://z-oleg.com/secur/avz_doc/inde...inearchive.htm
    Функция создает архив с файлами, помещенными в папку карантина. Из имеющихся в папке Quarantine подкаталога выбирается тот, который соответствующего максимальной дате.
    Раньше ведь в архив помещались файлы только собранные в карантин сегодня. Как давно поменялось поведение AVZ? Или так было всегда и просто было недопонимание из-за ошибки в справке?

    2) В русской справке ещё вот эти опечатки надо бы поправить.

    3) http://z-oleg.com/secur/avz_doc/inde...tefilemask.htm
    После завершения обработки папки в данном случае производится проверка, остались ли в ней файлы - если файлов не осталось, то папка автоматически удаляется.
    Уже несколько версий не удаляет, а в справке до сих пор неверная информация.

    4) http://z-oleg.com/secur/avz/upload_qr.php - стоит увеличить лимит. На сегодняшний день лимит в 20 Mb при пополнение базы чистых это очень мало.

  24. #79
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    109
    Вес репутации
    67
    Зайцев Олег, можно сделать чтобы функция ExpRegKey экспортировала ключ в формате "Windows Registry Editor Version 5.00", а не 4 ?
    Там по-моему нужно заменить RegSaveKey на RegSaveKeyEx с флагом REG_LATEST_FORMAT.

    Спасибо.
    HiJackThis developer team, CMD/VBS expert

  25. #80
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    109
    Вес репутации
    67
    Хорошо бы добавить возможность чтения скрытых ключей реестра (NtCreateKey, NtQueryKey, NtQueryValueKey, NtEnumerateKey, NtEnumerateValueKey, NtDeleteKey, NtDeleteValueKey).
    HiJackThis developer team, CMD/VBS expert

Страница 4 из 4 Первая 1234

Похожие темы

  1. Вышла новая версия антивирусной утилиты AVZ - 4.43
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 223
    Последнее сообщение: 04.09.2015, 14:06
  2. Вышла новая версия антивирусной утилиты AVZ - 4.41
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 81
    Последнее сообщение: 23.02.2014, 15:01
  3. Вышла новая версия MHDD
    От ALEX(XX) в разделе Софт - общий
    Ответов: 4
    Последнее сообщение: 12.07.2006, 09:17
  4. Вышла новая версия NOD 32.
    От kvit в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.06.2005, 13:35
  5. Вышла новая версия FireFox
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 14.05.2005, 13:11

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00784 seconds with 19 queries