Версия 3.80.02
[-] Исправлена ошибка при вызове менеджера внедренных DLL
[-] Копирование даты/времени файла при его помещении в карантин. Плюс в описывающий файл INI заносится информация не только о дате карантина, но и о дате/времени файла
[-] Улучшена справка (индексация, немного расширены некоторые разделы)
[+] Включено сканирование NTFS потоков по умолчанию
[+] Доработан анализатор имени файла, отделающий имя от параметров и т.п.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Олег
Насчет менеджера внедренных DLL, проверяются ли эти объекты по базе безопастных?
А то вот например та же MIPro.dll, которую я Вам высылал, в базы безоппастных включена, а в менеджере имеем подозрение на Keylogger или троянкую DLL с вероятностью 98,6%.
Олег
Насчет менеджера внедренных DLL, проверяются ли эти объекты по базе безопастных?
А то вот например та же MIPro.dll, которую я Вам высылал, в базы безоппастных включена, а в менеджере имеем подозрение на Keylogger или троянкую DLL с вероятностью 98,6%.
Да, там подсветка идет по базе безопасных. Но все файлы отображаются, вместе с анализом нейросети - последний позволяет оценить, насколько DLL похожа на типовой перехватчик. Т.е. в данном случае MIPro.dll должен "гореть зеленым", а 98,6% - это его степень похожести на типовой перехватчик.
Да, я их сегодня постараюсь закрыть. В новом апдейте будет это + скриптик для автопроверки ПК
Я подумал, наверное нужен еще бетч который будет запускать АВЗ с этим скриптом, что бы не объяснять как запускать из коммандной строки с ключами. Что-то типа virusinfo.bat
P.S. Нужно бы выводить в лог версию Вин, и если лог сделан в защищённом режиме писать об этом тоже
Да, там подсветка идет по базе безопасных. Но все файлы отображаются, вместе с анализом нейросети - последний позволяет оценить, насколько DLL похожа на типовой перехватчик. Т.е. в данном случае MIPro.dll должен "гореть зеленым", а 98,6% - это его степень похожести на типовой перехватчик.
Ну с этим ясно, спасибо.
А теперь обращаюь ща помощью:
на одной машине юзер устанавливал прогу Directory Opus. Потом прога сия была удалена. Но теперь при клике на иконке "Мой компьтер" вываливается диалог "Выбор программы для открытия файла".
Лог менеджера расширений проводника в аттаче.
Да, кстати, только обратил внимание, в заголовоке окна "Менеджер расширений проводника" написано "Менеджер расширений IE".
А теперь обращаюь ща помощью:
на одной машине юзер устанавливал прогу Directory Opus. Потом прога сия была удалена. Но теперь при клике на иконке "Мой компьтер" вываливается диалог "Выбор программы для открытия файла".
Лог менеджера расширений проводника в аттаче.
Да, кстати, только обратил внимание, в заголовоке окна "Менеджер расширений проводника" написано "Менеджер расширений IE".
Логично предположить что все расширения отсюда D:\Grey\Trash\Soft\Shell\DirOpus\8.xx\wrtg\ нужно отключить
Да, Олег, у меня тоже не работает (Windows XP SP2), Выдает "Access violation... Read of address... " хотя та "внутренняя" версия, что ты мне присылал, работала без проблем. Странно, однако...
Олег
Проблема "съедания" памяти при включении "Отчет о чистых объектах" пока осталась (т.к. весь лог пишется в Мемо).
Помню, Вы говорили что временно отказались от кеширования лога в файл для возможности запуска AVZ под WinPE. Но при загрузке WinPE создается RAM-drive, может на него сразу и писать? Или уж указывать имя лог-файла? Для лога чистых объектов сие не очень то критично, но тем не менее... Кроме того получается что "теоретически" может возникнуть подобная ситуация и при отключенном "Отчет о чистых объектах", в случае когда будет оооочень много зараженных и подозрительных объектов. Понимаю что такое маловероятно, поэтому то и пишу "теоретически"
Менеджер ДЛЛ заработал
Программа класс, объединить бы ее с APS... то и в трее не зря бы висела.
Когда там МакАфи устраняет прорехи не так впечатляет, тысячи сотрудников, бешенные бабки, а здесь на лету.
Догоните и обгоните буржуев.
В версии 3.80.02 по-прежнему осталось несколько проблем с проверкой по базе безопасных:
1. В "Драйверах" не опознаются файлы без пути и расширений (см. лог), хотя они есть в базе безопасных AVZ. Имена этих файлов совпадают с названиями драйверов (значениями в поле "Служба"), имеют расширения *.SYS, лежат в стандартных местах и благополучно запускаются системой.
2. Строка в "Автозапуске" вида: C:\WINDOWS\system32\dumprep 0 -k не понята AVZ.
Последний раз редактировалось DenZ; 06.09.2005 в 20:28.
Затестил ради интереса работу AVZ на компе с Win NT 4 SP6 Server. Вот такой раритет, но все же в хелпе AVZ написано, что должна работать на Windows NT.
Привожу результаты (см. лог):
1. Кусок лога:
Код:
Не найдена библиотека rasapi32.dll
...
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана
Т.е. поиск перехватчиков API, работающих в KernelMode, не производится. Выдается ошибка загрузки драйвера avz.sys.
2. Проверка памяти:
Код:
Количество найденных процессов: 0
Количество загруженных модулей: 0
Проверка памяти завершена
Т.е. память не проверяется, хотя в "Исследовании системы" видны запущенные процессы.
3. В логе "Исследование системы" и "Диспетчере процессов" нет ни одной DLL, используемой процессами, что странно.
4. В "Настройки SPI/LSP" - Поставщики пространства имен (NSP):
Код:
Обнаружено - 2, опознано как безопасные - 2
Это не соответствует действительности, т.к. эти файлы неизвестны AVZ и должны быть закрашены в темный цвет.
P.S. Обратил внимание, что почти все системные файлы Win NT 4 SP6 Server неизвестны AVZ. Похоже, кроме меня ей уже никто не пользуется.
Олег, есть смысл высылать Вам эти файлы для включения в базу безопасных или работа AVZ в этой системе не будет поддерживаться?
Под NT 4 у AVZ не работают новые разновидности драйвер - в принципе я могу прислать приватную версию, которая там функционирует - там в драйвере нет некоторых "наворотов", которые приводят к несовместимости с NT4. А вот процессы он обязан показывать, тут нужно разбираться.
Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8
это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.
Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!
Последний раз редактировалось DenZ; 07.09.2005 в 16:35.
Функция kernel32.dll:CreateProcessA (198) перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8
это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.
Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!
Перехват функций может быть опасным а может и не быть. Решить опасный он или нет может только человек имеющий определённый опыт и знания, и то с некоторой долей уверенности. Для того существует данный форум, что бы неподхотовленным пользователям было где спросить совета в сомнительных ситуациях.
Функция kernel32.dll:CreateProcessA (19 перехвачена, метод ProcAddressHijack.GetProcAddress ->C008129A<>BFF77741
Функция kernel32.dll:WinExec (812) перехвачена, метод ProcAddressHijack.GetProcAddress ->C0081292<>BFFA0DA8
это нормально. Подобные сообщения я наблюдал на нескольких "чистых" ПК с Win 98 SE 4.10.2222 A.
Так может убрать эти сообщения из лога, чтобы не смущать неподготовленного пользователя. Или хотя бы пояснять, что и зачем перехватывает функции kernel32.dll и почему это не опасно!
Помнится, у меня подобные две строки исчезли после сноса Нортоновских утилит.
Перехват функций может быть опасным а может и не быть. Решить опасный он или нет может только человек имеющий определённый опыт и знания, и то с некоторой долей уверенности. Для того существует данный форум, что бы неподхотовленным пользователям было где спросить совета в сомнительных ситуациях.
В данном случае Geser прав - решение должен принимать человек, в хелпе и FAQ я это прописал ...