-
По поводу плагина AVZ - описанное в нем не баг, а фича (если перезапустить TheBAT - база обновится). Я повесил проверку в плагине, что если база загружалась более 4 часов назад, то перезагрузить ее при очередном запросе на проверку файла.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 64
Можно сказать и фича
А где взять новую версию плагина?
-
Сообщение от
Nick222
Можно сказать и фича
А где взять новую версию плагина?
Через некоторое время выйдет вместе с AVZ ...
-
-
"Что немцу баг, то русскому фича"
Я в процессе разработки своего быдло-эвристика чуть было не допустил досадную оплошность. Решил проверить, как сделано у других. Выявил интересный факт.
Если в Services прописан драйвер без указания пути, винда ищет файл драйвера в drivers, тогда как анализатор AVZ в System32. Таким образом, устанавливаем драйвер "Redizko" , файл redizko.sys находится в drivers. Если поместить какой-то файл из базы правильных в System32, переименовать его в redizko.sys, то
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
Ой, не обращайте внимания. Если вы во время написания поста попробуете запустить проверку (AVZ), то получите , вероятно, то же самое . Во всяком случае, у меня в Опере так и вышло.
Так вот, "Диспетчер служб и драйверов" покажет, что есть некий драйвер, Redizko.sys, обнаружен в базе безопасных и стартует из System32.
-
-
Сообщение от
antanta
Ой, не обращайте внимания. Если вы во время написания поста попробуете запустить проверку (AVZ), то получите , вероятно, то же самое
А это описано в хелпе.
-
-
Спасибо. Кстати, раз уж зашел разговор про хелп, для некоторых функций реестра не указан тип возвращаемого значения. Хотя, ежу понятно, булево. И не говорите мне, что это мелочи. Я и сам это знаю. Про random я уже спрашивал и получил ответ. Только в хелпе я random не нашел. Возникает извечный вопрос: "Где взять документацию по недокументированным функциям?"
-
-
Junior Member
- Вес репутации
- 65
Вчера вылетела мышь 4.2.9.1, может поправили?
The Bat! 4.2.9
23.07.2009
Возможности программы были расширены, вот краткая сводка улучшений:
...
[-] (#0007549) Теперь антивирусные модули расширения работают всегда
...
-
Junior Member
- Вес репутации
- 64
AStr
Не 4.2.9.1, а 4.2.9.0 - и речь идёт о том, что они починили полностью сломанный механизм антивирусных модулей - до этого даже модуль от Аваст не работал...
-
Junior Member
- Вес репутации
- 65
Сообщение от
Nick222
AStr
Не 4.2.9.1, а 4.2.9.0 - и речь идёт о том, что они починили полностью сломанный механизм антивирусных модулей - до этого даже модуль от Аваст не работал...
Все же 4.2.9.1 - если надо могу скриншот кинуть. Сейчас подцепил плагин, посмотрю что будет
-
Junior Member
- Вес репутации
- 64
AStr
Лучше ссылку дайте - откуда взяли.
Официального объявления не было, а неофициальные беты у Ритов качать очень опасно.
Если речь о плагине от АВЗ - то нужна неделя непрерывной работы без выключения компьютера - чтобы эффект проявился.
-
Nick222,
http://ritlabs.com/ru/products/thebat/download.php
Ставите русскую 4.2.9 - получаете версию исполняемого файла 4.2.9.1.
Последняя бета - 4.2.9.2
Зайцев Олег,
При проверке синтаксиса следующего скрипта:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('avgntflt');
StopService('avgio');
QuarantineFile('D:\WINDOWS\system32\drivers\mlsiln.sys','');
QuarantineFile('D:\WINDOWS\System32\win32k.sys','');
QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys');
DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('avgntflt');
BC_DeleteSvc('avgio');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Редактор скриптов выкидывает ошибку:
Ошибка: "Undeclared identifier: 'SearchRootkit'"
При этом проверка синтаксиса в самом AVZ работает нормально.
-
-
Junior Member
- Вес репутации
- 65
To Gfj:
Редактор скриптов ver 4.30 - Ошибок не обнаружено
To Nick222:
Я машину неделями не перезагружаю, посмотрю, что будет
-
Ага, понял, была ошибка, связанная с повреждённым файлом в Base. Теперь всё работает, спасибо.
-
-
может уже было, что-то частенько не срабатывает с чем-то связано? может kb быть исправлено в след. версиях? как быть?
надоело писать
-
Лучше удалять через BC_DeleteSvc.
-
-
Сообщение от
Serrrgio
с чем-то связано? может kb быть исправлено в след. версиях? как быть?
надоело писать
Может быть уже пора прочитать документацию AVZ?
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
AStr
Все же 4.2.9.1 - если надо могу скриншот кинуть. Сейчас подцепил плагин, посмотрю что будет
И вот что вчера стало:
27.07.2009, 16:14:00: ANTIVIRUS - Проверка входящего письма на наличие вирусов
!27.07.2009, 16:14:00: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
27.07.2009, 16:31:25: ANTIVIRUS - Проверка на вирусы исходящего письма от astr@*****.ru, [email protected] к tin, размер: 5178, создан: 27 июля 2009 г. 15:35:30, тема: "Курсы валют ЦБ России"
!27.07.2009, 16:31:25: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
Снес.
-
Junior Member
- Вес репутации
- 64
При апдейте АВЗ не всякое обновление даёт такую картину - но явно замена какого-то из файлов вызывает именно данный эффект.
И ещё письма при этом отправить нельзя - если включена галка "Проверять исходящие письма на вирусы" - просто не даёт отправить, даже написанное письмо положить в папку Исходящие не разрешает.
-
Добрый день, Олег. Я регулярно посещаю сайт virusinfo. В последнее время обнаружил, что хелперы для удаления ключей реестра, сервисов (служб) и файлов зачастую используют GMER, а не AVZ. У меня вопрос: получается, что AVZ не всегда справляется с этим? Будет ли улучшен механизм удаления в грядущей версии?
+Проблема AVZ с именами файлов/папок, в которых есть пробелы.
Ну и в качестве бредовой идеи, может быть стоит ввести в программе режим карантина папки System32, DRIVERS и т.п. для предотвращения создания новых исполняемых файлов (+.SYS; .DLL), чтобы этот режим действовал с момента начала загрузки системы и продолжал работать при последующих перезагрузках компьютера (ограничить их кол-во 5-10 штуками, как опция)?
Желаю удачи в ваших трудах.
-
Сообщение от
antanta
"Что немцу баг, то русскому фича"
Я в процессе разработки своего быдло-эвристика чуть было не допустил досадную оплошность. Решил проверить, как сделано у других. Выявил интересный факт.
Если в Services прописан драйвер без указания пути, винда ищет файл драйвера в drivers, тогда как анализатор AVZ в System32. Таким образом, устанавливаем драйвер "Redizko" , файл redizko.sys находится в drivers. Если поместить какой-то файл из базы правильных в System32, переименовать его в redizko.sys, то
Так вот, "Диспетчер служб и драйверов" покажет, что есть некий драйвер, Redizko.sys, обнаружен в базе безопасных и стартует из System32.
Интересно, это будет исправлено? А то тишина подозрительная.
Сегодня еще обнаружил "фичу". На этот раз уже не умозрительно, а в живой природе.
В этой ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell выглядело примерно так:
Explorer.exe,Redizko.exe,Exprorer.Exe
В итоге в менеджере автозапуска соответствующая срока зеленела,
эксплоер при заргузке вылетал с ошибкой, но запускался повторно.
При попытке воспроизвести это дело в лабораторных условиях тестовый файл запускался, а Explorer отказывался стартовать. Последнее устраняется временным возвращением указанного ключа в штатное состояние.
Шепните "кибердемону" про эти дела
Последний раз редактировалось antanta; 10.08.2009 в 14:53.
-