По поводу плагина AVZ - описанное в нем не баг, а фича (если перезапустить TheBAT - база обновится). Я повесил проверку в плагине, что если база загружалась более 4 часов назад, то перезагрузить ее при очередном запросе на проверку файла.
По поводу плагина AVZ - описанное в нем не баг, а фича (если перезапустить TheBAT - база обновится). Я повесил проверку в плагине, что если база загружалась более 4 часов назад, то перезагрузить ее при очередном запросе на проверку файла.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Можно сказать и фича
А где взять новую версию плагина?
Через некоторое время выйдет вместе с AVZ ...Сообщение от Nick222
Можно сказать и фича
А где взять новую версию плагина?
"Что немцу баг, то русскому фича"
Я в процессе разработки своего быдло-эвристика чуть было не допустил досадную оплошность. Решил проверить, как сделано у других. Выявил интересный факт.
Если в Services прописан драйвер без указания пути, винда ищет файл драйвера в drivers, тогда как анализатор AVZ в System32. Таким образом, устанавливаем драйвер "Redizko" , файл redizko.sys находится в drivers. Если поместить какой-то файл из базы правильных в System32, переименовать его в redizko.sys, то
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
Ой, не обращайте внимания. Если вы во время написания поста попробуете запустить проверку (AVZ), то получите , вероятно, то же самое. Во всяком случае, у меня в Опере так и вышло.
Так вот, "Диспетчер служб и драйверов" покажет, что есть некий драйвер, Redizko.sys, обнаружен в базе безопасных и стартует из System32.
А это описано в хелпе.
Спасибо. Кстати, раз уж зашел разговор про хелп, для некоторых функций реестра не указан тип возвращаемого значения. Хотя, ежу понятно, булево. И не говорите мне, что это мелочи. Я и сам это знаю. Про random я уже спрашивал и получил ответ. Только в хелпе я random не нашел. Возникает извечный вопрос: "Где взять документацию по недокументированным функциям?"
Вчера вылетела мышь 4.2.9.1, может поправили?
The Bat! 4.2.9
23.07.2009
Возможности программы были расширены, вот краткая сводка улучшений:
...
[-] (#0007549) Теперь антивирусные модули расширения работают всегда
...
AStr
Не 4.2.9.1, а 4.2.9.0 - и речь идёт о том, что они починили полностью сломанный механизм антивирусных модулей - до этого даже модуль от Аваст не работал...
Все же 4.2.9.1 - если надо могу скриншот кинуть. Сейчас подцепил плагин, посмотрю что будет
AStr
Лучше ссылку дайте - откуда взяли.
Официального объявления не было, а неофициальные беты у Ритов качать очень опасно.
Если речь о плагине от АВЗ - то нужна неделя непрерывной работы без выключения компьютера - чтобы эффект проявился.
Nick222,
http://ritlabs.com/ru/products/thebat/download.php
Ставите русскую 4.2.9 - получаете версию исполняемого файла 4.2.9.1.
Последняя бета - 4.2.9.2
Зайцев Олег,
При проверке синтаксиса следующего скрипта:
Редактор скриптов выкидывает ошибку:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('avgntflt'); StopService('avgio'); QuarantineFile('D:\WINDOWS\system32\drivers\mlsiln.sys',''); QuarantineFile('D:\WINDOWS\System32\win32k.sys',''); QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys'); DeleteFile('D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('avgntflt'); BC_DeleteSvc('avgio'); SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
При этом проверка синтаксиса в самом AVZ работает нормально.Ошибка: "Undeclared identifier: 'SearchRootkit'"
To Gfj:
Редактор скриптов ver 4.30 - Ошибок не обнаружено
To Nick222:
Я машину неделями не перезагружаю, посмотрю, что будет
Ага, понял, была ошибка, связанная с повреждённым файлом в Base. Теперь всё работает, спасибо.
может уже было, что-то частенько не срабатываетс чем-то связано? может kb быть исправлено в след. версиях? как быть?Код:DeleteService();
надоело писатьКод:sc delete qwerty
Может быть уже пора прочитать документацию AVZ?
И вот что вчера стало:
27.07.2009, 16:14:00: ANTIVIRUS - Проверка входящего письма на наличие вирусов
!27.07.2009, 16:14:00: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
27.07.2009, 16:31:25: ANTIVIRUS - Проверка на вирусы исходящего письма от astr@*****.ru, [email protected] к tin, размер: 5178, создан: 27 июля 2009 г. 15:35:30, тема: "Курсы валют ЦБ России"
!27.07.2009, 16:31:25: ANTIVIRUS - Антивирусная программа сообщает об ошибке, объект не может быть проверен на наличие вирусов
Снес.
При апдейте АВЗ не всякое обновление даёт такую картину - но явно замена какого-то из файлов вызывает именно данный эффект.
И ещё письма при этом отправить нельзя - если включена галка "Проверять исходящие письма на вирусы" - просто не даёт отправить, даже написанное письмо положить в папку Исходящие не разрешает.
Добрый день, Олег. Я регулярно посещаю сайт virusinfo. В последнее время обнаружил, что хелперы для удаления ключей реестра, сервисов (служб) и файлов зачастую используют GMER, а не AVZ. У меня вопрос: получается, что AVZ не всегда справляется с этим? Будет ли улучшен механизм удаления в грядущей версии?
+Проблема AVZ с именами файлов/папок, в которых есть пробелы.
Ну и в качестве бредовой идеи, может быть стоит ввести в программе режим карантина папки System32, DRIVERS и т.п. для предотвращения создания новых исполняемых файлов (+.SYS; .DLL), чтобы этот режим действовал с момента начала загрузки системы и продолжал работать при последующих перезагрузках компьютера (ограничить их кол-во 5-10 штуками, как опция)?
Желаю удачи в ваших трудах.
Интересно, это будет исправлено? А то тишина подозрительная."Что немцу баг, то русскому фича"
Я в процессе разработки своего быдло-эвристика чуть было не допустил досадную оплошность. Решил проверить, как сделано у других. Выявил интересный факт.
Если в Services прописан драйвер без указания пути, винда ищет файл драйвера в drivers, тогда как анализатор AVZ в System32. Таким образом, устанавливаем драйвер "Redizko" , файл redizko.sys находится в drivers. Если поместить какой-то файл из базы правильных в System32, переименовать его в redizko.sys, то
Так вот, "Диспетчер служб и драйверов" покажет, что есть некий драйвер, Redizko.sys, обнаружен в базе безопасных и стартует из System32.
Сегодня еще обнаружил "фичу". На этот раз уже не умозрительно, а в живой природе.
В этой ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell выглядело примерно так:
Explorer.exe,Redizko.exe,Exprorer.Exe
В итоге в менеджере автозапуска соответствующая срока зеленела,
эксплоер при заргузке вылетал с ошибкой, но запускался повторно.
При попытке воспроизвести это дело в лабораторных условиях тестовый файл запускался, а Explorer отказывался стартовать. Последнее устраняется временным возвращением указанного ключа в штатное состояние.
Шепните "кибердемону" про эти дела
Последний раз редактировалось antanta; 10.08.2009 в 14:53.
Ваши права в разделе
