AVZ 3.10 - предлагаю потестировать и обсудить

[Зайцев Олег]

На свежеустановленном WinXP SP2 eng: ???Файл rsvpsp.dll на месте, всё работает. Где ошибка?

И почему-то при копировании лога из окна программы через буфер обмена в текстовый файл вместо русских букв получаются крякозябры.

А версия AVZ какая - такое впечатление, что это некая промежуточная версия из кеша прокси сервера.

Сегодня обновился AVZ - версия 3.15: 10454 сигнатуры, 1 нейропрофиль, 20 микропрограмм лечения, 161 микропрограмма эвристики и 28736 подписей безопасных файлов (включая файлы от XP SP1 eng). Доработки в приниципе затронули в основном базы и микропрограммы - усовершенствовано лечение разных зловредных зверей, в частности, наконец вроде-бы сделано полное излечение Look2me (хотя он стремительно меняется).

[Geser]

А как там с утилитай строящей список автозагрузки?

[Iceman]

И версия 3.15
Протокол антивирусной утилиты AVZ версии 3.15
Сканирование запущено в 22.03.2005 12:49:42
Загружена база: 10454 сигнатуры, 1 нейропрофиль, 20 микропрограмм лечения
Загружены микропрограммы эвристики: 162
Загружены цифровые подписи системных файлов: 28736

[Зайцев Олег]

А как там с утилитай строящей список автозагрузки?

Пишется - осталось уже немного ...

Posted by: Iceman
Да, 3.15 - это я уже зарапортавался ...

[azza]

[quote author=Зайцев Олег link=board=28;threadid=857;start=80#msg9031 date=1111482787]
А версия AVZ какая - такое впечатление, что это некая промежуточная версия из кеша прокси сервера.
[/quote]
Странно, но это действительно оказалась 3.10. Вот дурень, не посмотрел. :-[
С LSP в 3.11 всё ОК.

Здравствуйте!
А в jpg . файлах вирусы водятся?

Протокол антивирусной утилиты AVZ версии 3.15
Сканирование запущено в 22.03.2005 14:39:39

C:\WINDOWS\system32\oobe\html\mouse\images\bulzano .jpg>>> подозрение на Backdoor.Win32.Roxe.a ( 0ED6B00C 0F9FDD22 002BA086 0026C99B 72921)

всё бывает
http://64.233.161.104/search?q=cache...hl=ru&ie=UTF-8

[Energizer]

На свежеустановленном WinXP SP2 eng: ???Файл rsvpsp.dll на месте, всё работает. Где ошибка?

4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "" --> отсутствует файл C:\WINDOWS\system32\rsvpsp.dll
Ошибка LSP Protocol = "" --> некорректное имя ключа реестра
Ошибка LSP Protocol = "" --> отсутствует файл
...

Кстати, про LSP
Yesterdays (то есть вчерась ) чистил шефу комп от всяческих излишеств нехороших. Всякие проги умные использовал, в том числе и АВЗ, есс-но... Процесс очистки удачно подходил к завершению, когда коллега посмотрев на АВЗ захотел свой рабочий комп ради интереса проверить. Для полной крутизны он выставил все по максимуму, в том числе и автоматическое лечение LSP... Я-то сначала этого не знал
Ну, он проверил, все типа пучком, но сеть у него просто пропала. Тык-мык -> нифига, а если... нифига, а вот так попробуем... нифига... В итоге, переставили всю систему с нуля.
Но это еще не все! Я люблю находить причину всяких "случайностей", поэтому думал-думал и догадался, что он поставил галочку в АВЗ для автоматического исправления ошибок LSP. Хех... Догадался - надо проверить! ;D Ну, я на свежевычищенном компе шефа и проверил! Результат - комп сети не видит никак. Тоже пришлось ставить систему заново... Блин :

Система в обоих случаях Вин2000 сп4.

Напрашивается вопрос: что не так и где я не тут? ???

[Geser]

Напрашивается вопрос: что не так и где я не тут? ???

Наверное была старая версия, в которой баг был. Хотя всегда лучше сначала посмотреть без автолечения.

[Energizer]

Наверное была старая версия, в которой баг был. Хотя всегда лучше сначала посмотреть без автолечения.

Версия самая свежая на вчерашний день.
И раньше я всегда и запускал без автолечения, но вот коллега любопытный попался...

[Geser]

Версия самая свежая на вчерашний день.
И раньше я всегда и запускал без автолечения, но вот коллега любопытный попался...

А если просканировать сегоднешней, находит ошибки или нет?

[Energizer]

А если просканировать сегоднешней, находит ошибки или нет?

Хех! У меня завтра намечена чистка компа 1-го зама генерального... Вот есть возможность проверить ;D

[Зайцев Олег]

Кстати, про LSP
...
Напрашивается вопрос: что не так и где я не тут? ???

Да, судя по фрагменту лога это баг. Он давно пофиксен, и что интересно - эта версия лежала на сайте прмиерно 20 минут - короче говоря, закон Мерфи в чистом виде (плюс прокси или некое кеширование у моего провайдера - вероятно, нужно всетаки опять приходить к смене имени файла). Этот баг с правкой LPS был связан с доработкой для совместимости с некоторым LSP провайдерами, которые не прописывают полный путь к своим DLL. Надо было мне написать ...мы бы ПК шефа восстановили бы в лучшем виде. Но нет худа без добра - в новую версию AVZ я внесу опцию "восстановить эталонные настройки LSP" - для восстановления настроек в любой ситуации.

Posted by: J.F.
В базах AVZ есть несколько JPEG (в основном от разных троянов - в частности это обманки, применяемые для имитации окон приложений ... и несколько JPEG - эксплоитов). Данное срабатывание - скорее всего ложное срабатывание эвристика. Описание этого зверя есть у Symantec - http://securityresponse.symantec.com...door.roxe.html, он действительно живет в JPEG - он построен на уязвимости библиотек обработки JPEG, описанных в http://www.microsoft.com/technet/sec.../ms04-028.mspx ... судя по всему Backdoor.Win32.Roxe.a был изготовлен именно из этого bulzano.jpg.

[azza]

Кстати, про LSP
Система в обоих случаях Вин2000 сп4.

;D А почему у меня свежеустановленный Win XP?
Потому что до этого стоял Win2000 Sp4, ну и ...

[Geser]

;D А почему у меня свежеустановленный Win XP?
Потому что до этого стоял Win2000 Sp4, ну и ...

Любители лечить всё подряд ;D

[santy]

по моему, virus.zip не совсем практичное наименование для архива с зараженными телами? ругаются больно почтовые антивирусы.
(только что пытался переслать трояна-downloader-а, найденного AVZ 3.15. Trojan-Downloader.JS.Small.aq, определяется только KAV, AntiVir и AVZ! )
а какое имя архива формируется в карантине?

[Зайцев Олег]

по моему, virus.zip не совсем практичное наименование для архива с зараженными телами? ругаются больно почтовые антивирусы.
(только что пытался переслать трояна-downloader-а, найденного AVZ 3.15. Trojan-Downloader.JS.Small.aq, определяется только KAV, AntiVir и AVZ! )
а какое имя архива формируется в карантине?

В карантине - любое - при создании архива выводится окно с запросом имени файла, там можно не только выбрать путь, но и поменять имя архива. А вот пароль "virus" задается автоматически. Далее в карантинной папке и в архиве файлам дается имя вида avzNNNNN.dta (где NNNNN - порядковый номер считая с 1), к каждому файлу карантина парно создается текстовый файл avzNNNNN.ini, содержащий информацию о исходном положении файла, его размере и причине карантина - его можно смотреть в блокноте, структура очень простая:

Код:

[InfectedFile]
Src=E:\oracle\ora92\bin\OCI.dll
Infected=avz00001.dta
Virus=Модуль пользователем из диспетчера процессов 
Date=17.03.2005 17:33:38
Size=114688

[azza]

Поскольку AVZ эффективно борется с руткитами, планируется ли как-то обеспечить защиту от убиения процесса AVZ каким-нибудь продвинутым руткитом?

[Зайцев Олег]

Поскольку AVZ эффективно борется с руткитами, планируется ли как-то обеспечить защиту от убиения процесса AVZ каким-нибудь продвинутым руткитом?

В принципе какую-то защиту сделать я планирую. Правда AVZ пока не настолько известен, чтобы писатели руткитов стали бороться с AVZ (проще написать kernel-mode руткит, который почти невозможно обнаружить ). Кроме того, приложение с привилегией Debug может убить любой процесс ... и защититься от этого очень трудно

[coffeepot]

Win2ksp4
Запускаю avz под ЮЗЕРОМ (как текущий пользователь) - выдает:

5. Поиск клавиатурных шпионов (Keylogger)
C:\Program Files\Stardock\Object Desktop\wbhelp.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\Object Desktop\wbhelp.dll>>> Нейросеть: файл с вероятностью 2.18% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Stardock\Object Desktop\WBlind.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Stardock\Object Desktop\WBlind.dll>>> Нейросеть: файл с вероятностью 0.27% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Logitech\Scrolling\LgMsgHk.dll>>> Нейросеть: файл с вероятностью 99.48% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\CursorXP\CurXP0.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\CursorXP\CurXP0.dll>>> Нейросеть: файл с вероятностью 99.89% похож на типовой перехватчик событий клавиатуры/мыши

Так же сидя под ЮЗЕРОМ запускаю как АДМИНИСТРАТОР - все чисто, ничего не находит.

Получаетя проверку надо делать под каждым пользователем?

OFF кстати такую же бацду заметил при проверке AdAware...один и тот же зараженный файл лежал в c:\Documents and Settings\ЮЗЕР\Local Settings\Temp\~vis0000\ и в c:\Documents and Settings\администратор\Local Settings\Temp\~vis0000\ ...при проверке как администратор находит файл только в \Documents and Settings\администратор\Local Settings\Temp\~vis0000\, в \Documents and Settings\ЮЗЕР\Local Settings\Temp\~vis0000\ - нет...и наоборот
???