AVZ 4.34-4.35

[olejah]

Еще фичу нашел: если в окне протокола при зажатой левой кнопки мыши покрутить скролером, то меняется размер шрифта.

Это и в 4.32 было

[Karlson]

Просьба проверить, нормально ли сейчас качается

только что прилетело на ура

[Зайцев Олег]

ок

Добавлено через 1 минуту

но есть другая особенность. Все также есть проблемы с "ЧИСТЫМИ" файлами. Из секции Drivers только 2 проверенных, при скане AVZ интегрированного в KIS2011 проверенных драйверов уже под 200.

Есть конечно - не все сразу ... модули пространства ядра на x64 адаптированы, список служб и драйверов - в процессе адаптации

[Voyka]

Сообщение от Voyka
Подскажите пожалуйста почему при запуске восстановления SPI/LSP - AVZ вылетает, даже при включенном AVZGuard всё равно вылетает, т.е. исчезает но в процессах висит, завершить процесс невозможно поскольку всё заблокировано, приходится перезагружать комп. Если без включенного AVZGuard то AVZ исчезает и в процессах. Решил сделать полное пересоздание настроек SPI но результат тот же через несколько секунд AVZ самозакрывается.

Менеджер LSP выдаёт такие ошибки:

Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Ошибка LSP NameSpace: "" --> отсутствует файл
Ошибка LSP NameSpace: "" --> некорректное имя ключа реестра
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 8
Возможны проблемы при работе с сетью и Интернет

Вроде проблем с интернетом нет, менеджер ошибки не исправляет но всё закрывается

Сообщение от Зайцев Олег
А зачем это делается, если не секрет - хелперы посоветовали или как ?

Просто во время периодического сканирования AVZ он иногда вылетает, а иногда выдаёт синий экран смерти, вот и пытаюсь понять что к чему.
Поскольку сканирование на вирусы, открытие темы и помощь тут ни каких результатов не приносит.
В безопасном режиме вообще загрузиться невозможно - опять же синий экран. Если это не может быть из за ошибок LSP то я не пойму в чём дело...

[NickM]

как себя поведет(переименование, удаление, отложенное удаление файла, удаление ключей реестра) АВЗ с файлом из спец символов? например, ♦♥s.exe (alt+4 alt+3) и таким же ключем автозапуска в секции Run.

[Зайцев Олег]

как себя поведет(переименование, удаление, отложенное удаление файла, удаление ключей реестра) АВЗ с файлом из спец символов? например, ♦♥s.exe (alt+4 alt+3) и таким же ключем автозапуска в секции Run.

В случае полного имени должно в общем-то удалить ... но зловредов таких нет, поэтому извращаться я не пробовал - появятся, будем пробовать Но на всякий случай (юникодное имя, спецсимволы и т.п.) в BC давно есть возможность задать любой символ по его коду - это не применялось почти никогда, но есть http://z-oleg.com/secur/avz_doc/scri...letesvcreg.htm

[antanta]

Зайцев Олег, Не успела выйти новая версия, а мы уже с пожеланиями...
1) Иногда хочется сделать, но не пойму как в скрипте реализовать: поотключать сервисы в соответствии с неким "белым списком", через BC. А может, и файлы поудалять. А то иногда плодятся "суслики".
2) SetBufferByte и т.д. в принципе не планируется?
3) Отправлял сегодня Вам в ПМ свой способ автозапуска. Где-то затерялось в потоке, или просто не до сук, с выпуском новой версии?

[Зайцев Олег]

Зайцев Олег, Не успела выйти новая версия, а мы уже с пожеланиями...
1) Иногда хочется сделать, но не пойму как в скрипте реализовать: поотключать сервисы в соответствии с неким "белым списком", через BC. А может, и файлы поудалять. А то иногда плодятся "суслики".
2) SetBufferByte и т.д. в принципе не планируется?
3) Отправлял сегодня Вам в ПМ свой способ автозапуска. Где-то затерялось в потоке, или просто не до сук, с выпуском новой версии?

1. Я напишу (быть может придется подождать до выходных) пример такого скрипта
2. В общем-то потребности не было, но если она нужна, то реализовать в принципе можно (причем без кеширования - просто немедленны лобовой патч файла)
3. Видел, еще не успел отписать ... это известная в общем-то системная дурка (их на самом деле известно не менее 5 штук подобных, причем 2 из них используются реальными троянами и на одну есть эвристика AVZ). Если описанное появится в реальных зверях - появится вторая эвристика (это несложно сделать скриптом)

[Scaramanga]

Klif.sys так и не заслужл доверия?) так и остался в подозрительных объектах.

[antanta]

- про это давно писал. Забыли, наверное. Хотя, на это безобразие хотя бы эвристика ругается.
А на этот старый баг - нет. Только что проверил, все еще работает. Забэкапил beep.sys, поместил в drivers под именем beep.sys свой драйвер, которого в базах безопасных нет. Потом переименовал многострадальный notepad.exe в beep.sys, поместил в System32. В итоге мой дров в "диспетчере служб и драйверов" стал зеленым.

Добавлено через 6 минут

Зайцев Олег,

это известная в общем-то системная дурка

Если эта дурка известна, то не всем, насколько я понял. Wefensewall hips, а также KIS без дополнительной настройки HIPS пропускают спокойно. Других пока не проверял. Кстати, в случае с KIS код исполняется, а потом выдается сообщение, что программа не была запущена. И предлагается запретить запуск.
Да и AVZ в объектах атозапуска не отображает.

Добавлено через 3 минуты

Зайцев Олег,

1. Я напишу (быть может придется подождать до выходных) пример такого скрипта

Такое возможно? Именно через BootCleaner? Я имею в виду случай, когда во время написания скрипта "сусликов" еще нет. Либо их не видно. Просто намекните как, не тратьте время. Кстати, BC может обрабатывать перехваты?

[Infocatcher]

Ложное срабатывание при определении наличия программы в автозагрузке:

Код:

Анализатор - изучается процесс 5124 D:\Portable\Miranda\miranda32.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

32-битная Windows 7.

При этом ни встроенные средства, ни AutoRuns 10.01 ничего такого в автозагрузке не показывают. А сам я и подавно в автозагрузку не прописывал.

[Зайцев Олег]

Ложное срабатывание при определении наличия программы в автозагрузке:

Где ложное срабатывание ?

[antanta]

Infocatcher, Не смотря на использование в программе AVZ элементов искуственного интеллекта, представляется маловероятным, что прга нафантазировала. Иначе, Зайцева Олега можно было бы поздравить
Авторанс - не истина в последней инстанции же. Уверяю Вас.

[Nerimash]

Панель "Быстрый запуск" определяется АВЗ как раздел автозапуска. Что можно легко проверить посмотрев в лог.

Добавлено через 2 минуты

Есть конечно - не все сразу ... модули пространства ядра на x64 адаптированы, список служб и драйверов - в процессе адаптации

Спасибо, будем ждать. Кстати это обновление планируется в последующей зборке или оно "приедет" вместе с обновлениями баз?

Ну все таки не могу дождатся драйверов бутклинера и гарда для х64

[Infocatcher]

Панель "Быстрый запуск" определяется АВЗ как раздел автозапуска. Что можно легко проверить посмотрев в лог.

Да, в быстром запуске есть.
Но это же не автозагрузка. Хорошо бы и писать что-нибудь соответствующее.

Авторанс - не истина в последней инстанции же. Уверяю Вас.

Тем не менее, средство хорошее.
А истин в последней инстанции не бывает. Вот и используем, что есть.

[Chizh86]

Точно всё, что есть в панели быстрого запуска сразу попадает в карантин, если включен автокарантин, в логе как автозапуск пишет, и файлы экселя и ярлыки, вордовские файлы, всё что там есть. Просто каждое утро отсылать в базу чистых одни и те же карантины...
И Кибер со вчерашнего дня молчит, утром отправлял файлы на обследование и тишина..

[Зайцев Олег]

Да, в быстром запуске есть.
Но это же не автозагрузка. Хорошо бы и писать что-нибудь соответствующее.

Хорошо бы читать то, что пишется в логе ... причем читать "как есть". Где там в логе написано, что это элемент автозагрузки ?! Это запущенный процесс, который подвергается изучению, по данному процессу собираются все доступные данные, которые могут хоть как-то его характеризовать, причем на уровне категорий без детализации (детализация есть в логе исследования, где дательно расписано, что и где прописано ... панель быстрого запуска является одной из форм, причисляемых мной к автозапуску (типовой пример - троян создает ярлычек с иконкой и помещает туда - что будет ?! целый ряд порнозвонилок, псевдоантивирусов и т.п. туда лезут ... и как я помню для Miranda, тем более Portable нетипично размещение в быстром запуске). Цель этих сообщений в логе - привлечь внимание хелпера к изучению соответствующих разделов лога

[okshef]

Огромное спасибо, Олег, за обновление, но, похоже, обработка циклических ссылок в Windows 7 так и не исправлена. Из лога AVZ на Windows 7:

Local\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Opera\Opera\vps\0000\wb.vx

[ALEX(XX)]

okshef, зато теперь на них не падает

[Infocatcher]

Хорошо бы читать то, что пишется в логе ...

Вроде бы, при обычном запуске сканирования (в отличие от стандартного скрипта сбора информации) лога не создается. Или я что-то упустил?
Вот меня и смутило «Записан в автозапуск !!», тем более, что раньше подобного про элементы Quick Launch не сообщало.

и как я помню для Miranda, тем более Portable нетипично размещение в быстром запуске).

Ну, просто мне лень переустанавливать некоторые программы, котрые не требуют установки для своей нормальной работы.

Цель этих сообщений в логе - привлечь внимание хелпера к изучению соответствующих разделов лога

Это все понятно, но было бы гораздо удобнее видеть в протоколе разные записи для все-таки различных причин подозрительности.

P.S. В логе, кстати, пишет про «Ярлык в папке автозагрузки». По «Quick Launch» в пути, конечно, понятно, но это не папка автозагрузки, а папка быстрого запуска, уж простите за буквоедство.