7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 81179, извлечено из архивов: 64200, найдено вредоносных программ 0
Сканирование завершено в 04.11.2005 14:32:59
Сканирование длилось 02:22:24
Трудоемко и не оправдано...
В типах файлов стоят настройки по умолчанию: Потенциально опасные файлы и 3 чека внизу.
В ''потенциально опасных'' согласно справке:
AVZ проверят EXE, DLL, OCX, SYS, CAB, INF…
должны быть не все. Мне показалось проверяет все?
Настройки по умолчанию даются для новичков. Оправдано ли ''шерстить'' всё? Не лучше ли бы давать сразу маску на *.txt, *.html, *.chm, *.log, *.ini и т.д.?
Кто и как работает с масками? С какими?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Похоже в частом “вылитании” AVZ у меня на ПК виновником является
SYMANTEC ANTIVIRUS CORP…(v 9.0.0.33 ну тут есть один прикол, при простом завершении процессов (с помощью “диспетчера задач” например) AVZ всё равно при поиски “зверей” моментально завершает свою работу (отключается!) – при сканировании C:/Windows/Temp/tmpXXX.tmp/….
(XXX – это число)
Но при отключении Служб “антивиря” … AVZ успешно заканчивает сканирования
(по крайней мере, диск “С” проверял до конца)
Название отключенных служб (сервисов) :
1) Symantec AntiVirus -
Динамический поиск вирусов, функции создания отчетов и управления для Symantec AntiVirus.
2) Symantec AntiVirus Definition Watcher –
Отслеживает появление описаний вирусов и обрабатывает их.
А так же отключил процесс (авто запуск) Symantec AntiVirus - VPTray.exe
При этом AVZ вроде преодолевает папку TEMP
Иногда успевает сообщить вот это:
Ошибка при сканировании каталога C:\WINDOWS\Temp\ (Access violation at address 00401E75 in module 'avz.exe'. Write of address EA119F14 --> 6)
ИЛИ вот это:
Ошибка при сканировании каталога C:\ (Access violation at address 00401E8F in module 'avz.exe'. Write of address 01EA9B78 --> 6)
ХЗ что делать?
Есть ли связь между SYMANTEC ANTIVIRUS CORP > AVZ > TEMP ….
Как решить проблему? можно ли папку подчистись?…..
или её надо исключить из поиска AVZ? .
После удачного сканирования (если преодолевает папку TEMP) есть ещё проблема:
Не могу посмотреть порты….. Открытые порты TCP/UDP выдаёт сообщение:
Access violation at address 00404D48 in module “avz.exe” Read address 00000010.
Тоже самое “вылезает” при попытке “Исследования системы” (при попытке создать)
Может в этом виноваты “надстройки XP” (твикер)?.
Что может препятствовать в стабильной работе AVZ (v4.0)?????
Вроде всё работает. Обновление без проблем. Протокол прилагается.
Что заметил:
при создании протокола исследования системы поставил галку "Создать ZIP архив...", создался и zip и htm, это фича?. И ещё, он про DrWeb специально не знает?
Похоже в частом “вылитании” AVZ у меня на ПК виновником является
SYMANTEC ANTIVIRUS CORP…(v 9.0.0.33 ну тут есть один прикол, при простом завершении процессов (с помощью “диспетчера задач” например) AVZ всё равно при поиски “зверей” моментально завершает свою работу (отключается!) – при сканировании C:/Windows/Temp/tmpXXX.tmp/….
(XXX – это число)
Есть ли связь между SYMANTEC ANTIVIRUS CORP > AVZ > TEMP ….
Что может препятствовать в стабильной работе AVZ (v4.0)?????
вопросы:
1. включен ли антивирусный монитор Symantec при неуспешной проверке папки TEMP?
2. нормально ли работала предыдущая версия AVZ?
предложение - не выводить в исследовании системы в файл строки файла hosts вида
Код:
127.0.0.1 localhost
и вообще не создавать раздел и таблицу
Код:
Файл HOSTS
Запись файла Hosts
если в файле нет ничего постороннего
Логично, так я и сделаю ... to Granat
несколько разновидностей DrWeb есть в базе, но они видимо недавно обновили его, поэтому в базы чистых он еще не попал... ZIP+HTML - это фича - просто HTML создается всегда, а при включении соотв. птички дополнительно создается содержащий его ZIP. to Cool Cat
глюки могут быть связаны с монитором ... Код 6 в логе - это сканирование файла. Код 8 - сканирование каталога внутри указанного. to Oro
1. Да, моя промашка - разблокирую
2. Уже поправлено, это баг
3. Уже поправлено, это баг
4. Баг, вытекающий из 3, поправлен
5. Недосмотр, сейчас исправлю
Xoрошо что не забываешь...
А где в меню ты собираешься её ''втыкнуть''?
Пока не знаю ... я вообще не знаю, будет ли язык выбираться "на лету" или будут локализованные версии - я пока занимался причесыванием движка для того, чтобы можно было выдрать все текстовые сообщения и перевести их
Пока не знаю ... я вообще не знаю, будет ли язык выбираться "на лету" или будут локализованные версии - я пока занимался причесыванием движка для того, чтобы можно было выдрать все текстовые сообщения и перевести их
пункт "язык программы" лучше воткнуть в пункт "Справка" и сделать его англоязычным. так сказать - язык международного общения.
локализованные версии - это разные exe-файлы для разных языков?
могу назвать минусы такого подхода:
1. когда языковые настройки внешние (в инишках и т.п.), то их могут переводить простые пользователи, знающие несколько языков. в противном случае все делать придется автору (а его возможности ограничены всего несколькими языками), ибо только он знает все строки, которые могут выдаваться программой.
2. при выходе новой версии придется закачивать на сайт по несколько дистрибутивов. на это требуется время, деньги, место на сервере.
если языки в инишках - то это проще, поскольку подойдут файлы от предыдущей версии. и размер компактнее.
3. сайт придется переводить на кучу языков, чтобы было понятно какой файл с каким языком. или делать длинные "говорящие" имена файлов.
МОСТ (писал)
вопросы:
1. включен ли антивирусный монитор Symantec при неуспешной проверке папки TEMP?
2. нормально ли работала предыдущая версия AVZ?
Ответы:
1. От этой версии ANTIVIRUS CORP…v 9.0.0.338 в службах находятся:
Symantec AntiVirus (процесс Rtvscan.exe)
Symantec AntiVirus Definition Watcher (процесс DefWatch.exe)
и
SavRoam – Служба роуминга Symantec AntiVirus (процесс Savroam.exe)
(находится в отключенном состоянии, на ручном запуске)
А так же
Автозапуск vptray (процесс VPTray.exe)
Так вот AVZ успешно заканчивает сканирования у меня папки TEMP при отключении:
1)служб
Symantec AntiVirus
Symantec AntiVirus Definition Watcher
(При этом процессы тоже прекращают работу)
(“включен ли антивирусный монитор Symantec?” – я так понял “Rtvscan.exe”)
2)автозапуск
vptray (процесс VPTray.exe)
(отключаю через дис. задач)
2. При работе AVZ в паре с этой SYMANTEC ранее не было проблем …..
с версией 3. 81 и ниже …. а вот начиная с версии 3.83 начались эти проблемы
но это может быть связано я думаю и с обновлением антивирусных баз SYMANTEC
или наоборот с увеличением в AVZ.
Как я понял из темы (тестирования v3,80 и выше) сообщение типа..
Access violation at address 00404D48 in module “avz.exe” Read address 00000010.
связано с нехваткой оперативной памяти при определённом процессе …
Неужели AVZ .. становится ресурсоёмким?... ведь при сканировании он не грузит систему... да и работает быстро.
Пока не знаю ... я вообще не знаю, будет ли язык выбираться "на лету" или будут локализованные версии - я пока занимался причесыванием движка для того, чтобы можно было выдрать все текстовые сообщения и перевести их
Понимаю, что "на лету" менять проблемно, но локализованные версии - еще хуже и ''головная боль'' в будующем для тебя...
Не лучше ли будет после выбора другого языка, предлагать автоматический перезапуск AVZ и подниматься уже с новым...?
Солидарен с доводами МОСТа.
2. Не услышал твой ответ о настройках типов файлов?
Оптимальные на твой взгляд?
Не слишком ли расширены потенциально опасные?
Возможен ли в будующем механизм сканирования: пропускать (не ''трогать'') файлы, которые были безопасны и не изменились со времени предыдущей проверки?
Пока не знаю ... я вообще не знаю, будет ли язык выбираться "на лету" или будут локализованные версии - я пока занимался причесыванием движка для того, чтобы можно было выдрать все текстовые сообщения и перевести их
Может сделать файл локализации как во мнофих программах, где все фразы и перевод на другой язык. Так каждый желающий сможет заменить перевод и сделать свою локализацию на любой язык.
Понимаю, что "на лету" менять проблемно, но локализованные версии - еще хуже и ''головная боль'' в будующем для тебя...
Не лучше ли будет после выбора другого языка, предлагать автоматический перезапуск AVZ и подниматься уже с новым...?
Солидарен с доводами МОСТа.
2. Не услышал твой ответ о настройках типов файлов?
Оптимальные на твой взгляд?
Не слишком ли расширены потенциально опасные?
Возможен ли в будующем механизм сканирования: пропускать (не ''трогать'') файлы, которые были безопасны и не изменились со времени предыдущей проверки?
Сейчас по умолчанию проверяются файлы типов:
.EXE.DLL.OCX.SCR.SYS.CPL.AX.COM.VXD
.JS.HTM.HTML.CHM.HTA.CMD.BAT.DOC.LNK.INF.PIF.CAB.W AV.MP3.BAK.VBS.CHM.ZIP.JAR.TAR.GZ.TGZ.TMP.EML.MSG
механизма сканирования по режиму "не трогать безопасные" наверное не будет никогда - для контроля изменения файла нужно считать его CRC и проверятьь по базе, а это на порядок дольше, чем AV проверка, требующая как правило считывания 1-2% данных файла. Вот для архивов нечно подобное планируется, н несколько иначе - для отсечения стандартных архивов и CHM файлов из дисрибутива Windows
Сейчас по умолчанию проверяются файлы типов:
.EXE.DLL.OCX.SCR.SYS.CPL.AX.COM.VXD
.JS.HTM.HTML.CHM.HTA.CMD.BAT.DOC.LNK.INF.PIF.CAB.W AV.MP3.BAK.VBS.CHM.ZIP.JAR.TAR.GZ.TGZ.TMP.EML.MSG
А HTM, HTML по умолчанию проверяются зачем?
Вот для архивов нечно подобное планируется, н несколько иначе - для отсечения стандартных архивов и CHM файлов из дисрибутива Windows
Олег, один вопрос, судя по этой теме http://virusinfo.info/showthread.php?t=3828 AVZ не смог обезвредить активного зверя Look2Me в памяти. Вопрос - так ли это, и если так- будет ли добавлена процедура обезвреживания этого зверя в памяти?
1. Sygate Personal Pro выдал сообщение во время обновления баз.
Application Hijacking has been detected
The application: C:\Program Files\Total Commander\Totalcmd.exe try to launch another application: E:\disk_d\Arhives\AntiVirus\AntiSpyWare\Утилиты_бе зопасности_Зайцева\avz4\avz.exe to go to remote host virusinfo.info
???
2. Может быть, после успешного завершения обновления вообще закрывать окно обновления?
3. Показывать дату последнего обновления антивирусных баз в логах сканирования.