Здравствуйте господа вирособорцы! Собсвенно это мой первый пост на этом форуме, поэтому прошу не пинать. История такова, некоторое время назад проникся AVZ... Использовал версию 3.50. Сегодня скачал и установил 3.75. При сканировании собственно возникли множественные ошибки с архивными файлами. Лог прилагается...Только вот так криво к сожалению...Прикреплялка нихт функционирен
В версии 3.50 такого не было.
Протокол антивирусной утилиты AVZ версии 3.75.04
Сканирование запущено в 23.08.2005 21:36:24
Загружена база: 16273 сигнатуры, 1 нейропрофиль, 55 микропрограмм лечения
Загружены микропрограммы эвристики: 354
Загружены цифровые подписи системных файлов: 34746
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08A500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80561500
KiST = 804E48B0 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 351
Проверка памяти завершена
3. Сканирование дисков
C:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000
C:\Distrib\miranda_nightly3103.zip Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.t mp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
C:\Distrib\Outpost\Outpost\ac-weo10.zip Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.t mp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
C:\Distrib\Outpost\Outpost\Tauscan.1.65.0.1212_CRK EXE-FFF.zip Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.t mp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
.................................................. .............................................
C:\Program Files\Mozilla Firefox\chrome\toolkit.jar Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.t mp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
C:\WINDOWS\Mozilla\Profiles\default\vt5a45qs.slt\m ultiviews.jar Cannot create file "C:\DOCUME~1\D4F2~1\LOCALS~1\Temp\avz_1400_1.t mp". Процесс не может получить доступ к файлу, так как этот файл занят другим процессом
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.22% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
C:\WINDOWS\system32\nvwddi.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nvwddi.dll>>> Нейросеть: файл с вероятностью 0.70% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 29 TCP портов и 18 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 21345, извлечено из архивов: 2889, найдено вирусов 0
Сканирование завершено в 23.08.2005 21:44:41
Сканирование длилось 00:08:17
ЗЫ: Позднее лог "правильный" вставил, с характерной строкой
C:\Distrib\Microsoft Office XP Pro Rus\FILES\OSP\1049\IE5\RU\VMX86_01.CAB Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000
Последний раз редактировалось Granat; 23.08.2005 в 22:52.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
При сканировании собственно возникли множественные ошибки с архивными файлами. Лог прилагается...
Я тоже уже описывал такой баг. При проверке архива VMX86_01.CAB из дистрибутива MS Office XP Pro Rus в AVZ возникает ошибка: "Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000" и все последующие архивы перестают проверяться из-за проблем с временным файлом...
Я тоже уже описывал такой баг. При проверке архива VMX86_01.CAB из дистрибутива MS Office XP Pro Rus в AVZ возникает ошибка: "Access violation at address 00402680 in module 'avz.exe'. Read of address 01774000" и все последующие архивы перестают проверяться из-за проблем с временным файлом...
Я одну ошибку в этом районе поймал и пофиксил ... значит, что-то еще осталось - надо будет еще разок проанализировать работу распаковщика. Тут, к сожалению, есть доля моей вины - извлечение из CAB я доверил системе, штатному распаковщику Windows ...
Сейчас мне удалось найти этот архив, он действительно падает, за пределами AVZ - вызывается системная API FDICopy, и ошибка проходит внутри нее (спотыкается он на последнем файле этого архива - wfcclean.exe. Как следствие, проверяемый CAB и временный файл остаются открытыми (т.к. открывает их FDICopy). Наверное, придется писать распаковщик CAB (короче говоря, повтор ситуации с CHM). А сам по себе CAB нормальный, тот-же RAR его открывает
Последний раз редактировалось Зайцев Олег; 24.08.2005 в 00:07.
было еще такое пожелание. Может быть, "термометр" сканирования переместить вниз, в статусную область, где показаны сканируемые объекты и прочее? (как в spybot&destroy? или так уже было?)
Олег, при установлении "Отчет о чистых обектах" и сканировании большого объема инфы, объем памяти занимаемой AVZ очень сильно растет, у меня было больше 200 метров. В обем то понятно почему, т.к. лог выводится в Мемо, при том полностью весь. Может быть в таком случае кешировать частично лог в файл, а в Мемо отображать только его часть? Или хотя бы сделать опцию "Писать лог о чистых обектах в файл"
Логично, добавляю. to Grey
Да, есть такой баг - я тоже как-то недавно нарвался. вариант с кешированием когда-то был, но AVZ ожно пускать с CD или по сети - там кешировать некуда. Сейчас я думаю сделать порог - при достижении логом некоторого объема (скажем, 1 мб), автмоатом начинать кеширование в папку temp
было еще такое пожелание. Может быть, "термометр" сканирования переместить вниз, в статусную область, где показаны сканируемые объекты и прочее? (как в spybot&destroy? или так уже было?)
Это было в одном из приватных вариантов, но получалось немного кривовато - в статусной области места мало, градусник получался короткий по длинне
При копировании (автодобавлении) подозрительных файлов в Карантин неплохо бы сохранять их даты создания (модификации) в avzXXXXX.ini (и присваивать avzXXXXX.dta дату оригинального файла).
По этим датам можно отличить вирус от "хорошего" файла, например, когда новый софт в этот период не ставился, т.к. обычно дата вирусного файла совпадает с датой попадания в систему.
Что-то не понятно с обновлением баз, каждый раз полностью скачивать всю прогу?
Да - я по мере совершенствования программы периодически меняю формат базы, и часть ядра находится в главном EXE. Если вынести ядро в базу, то полученный объем изменений будет примерно равен объему текущего архива с программой. Поэтому пока отдельное обновление баз нецелессобразно (исключение - daily.avz для оперативного лечения заразы, обнаруженной у пользователей)
Тут в соседнем топике подняли бучу из-за софтинки, которая юзает порт с номером, использующимся ЛейзиАдмином. Вот чисто ИМХО, нафиг не нужна эта база открытых портов в АВЗ. Вы давно вживую видели BackOrifice, GirlFriend, DeepThroat и прочие старые добрые listener'ы? А на портах по умолчанию? Большая часть здесь присутствующих даже не знает, что это вообще за названия такие... а юзеры пугаются почем зря =)