» AVZ - Anti-SpyWare, Anti-AdWare

vapod
Всё верно, Windows 7. Да, действительно, если снять галочку, то работает. Т.е. такое поведение является нормальным для Win 7?

HEXFIX

Цитата:

Т.е. такое поведение является нормальным для Win 7?

Насчёт нормальности не уверен, но по-другому не работает.

HEXFIX
vapod
Странно, это ещё в 4.34 исправили. У меня, к примеру, с галкой не вылетает.

Цитата:

ACheckLevel - порог срабатывания. Степень тяжести проблемы отсчитывается от 1 до 3 (1-незначительные проблемы и ошибки, 2-проблемы средней тяжести, 3-опасные ошибки и проблемы). Указание значения за пределами 1..3 приведет к ошибке и функция не отработает

AFixLevel - порог срабатывания автоматического исправления проблем. Степень тяжести проблем сравнивается с данным порогом и если степень тяжести больше или равна порогу, то производится автоматическое исправление проблемы. Допустимые значения 1..3, указание значения -1 отключает систему автоматического исправления и функция ExecuteWizard работает в режиме сбора информации

AVZ, (C) Зайцев О.В., http:

А где нибудь можно более подробно почитать какой проблемме какой уровень опасности присвоен ?

regist123

Цитата:

А где нибудь можно более подробно почитать какой проблемме какой уровень опасности присвоен ?

Нет, описания такого нет ... и так сделано специально. Суть в том, что:
1. задача визарда - искать и фиксить проблемы автоматом, и как следствие, набор проблем, их оценка и т.п. могут меняться в любой момент - это все в обновляемой базе.
2. Некоторые проблемы могут оцениваться по разному в зависимости от результатов анализа;
Все проблемы с уровнем 2 и 3 вредят ПК и фиксить их нужно в любом случае, что и делается командой скрипта по заданному уровню. При этом визард не делает ничего опасного, что могло бы в некоей ситуации навредить системе. Это отличает визард от восстановления системы - там все наоборот, восстановления описаны в хелпе, запускаются вручную (или скриптом поштучно), и некоторые имеют некоторые ограничения или противопоказания.

Добавлено:
Ronin666

Цитата:

Странно, это ещё в 4.34 исправили. У меня, к примеру, с галкой не вылетает

Совершенно верно, была такая бага - я ее специально фиксил.

Добавлено:
Alice_Cooper

Цитата:

И еще вопрос: зачем в AVZ существует плагин для The Bat! ? Ведь его работа основывается только на сигнатурном поиске.

Все просто - он почти не жрет ресурсов, и TheBat позволяет подключить несколько антивирусных плагинов одновременно. Таким образом плагин AVZ можно применять одновременно с плагином основного антивируса на всякий случай, для подстраховки. Хотя по опыту сейчас опасных почтовых малварей стало меньше - в основном ссылки (фишинг, ссылки на заразные сайты, на эксплоиты разные, или влоб на EXE файл малвари) - для них антиврус не нужен, достаточно просто помнить, что получая письмо с текстом типа "Взрослые знакомства тут <URL>" не стоит нажимать на ссылочку

Oleg_Zaitsev

Олег! Персонально поздравляю с Новым Годом! И желаю счастья, здоровья и всего наилучшего!

Victor_VG

Цитата:

Уважаемый ShIvADeSt меня опередил высказав абсолютно верную вещь: сигнатуры - это конечно хорошо, да только вот нужны они для поверхностной оценки типа "да - нет", а потому и я никогда не задумывался об их актуальности. С их помощью хорошо только печально знаменитую заразу ловить, а на свежевыпеченную - простите, ярлыки ещё не навесили...

Полностью согласен. Добавлю еще то, что сейчас на смену сигнатурам (отказа от них нет, и базы пополняются) приходит расширенная эвристика. Она так-же в базах AVZ (только обновялется пока 1-2 раза в неделю), и многое создается машиной - КиберХелпером. Такие проверки в логе имеют пометку (CH ***), где вместо *** может быть краткая отметка о том, на чем основан детект. А суть эвристики простая - если видна тенденция, что скажем некая малварь использует что-то характерное (имя файла, CLSID класса, ключ автозапуска ...) и оно не пересекается с чем-то легитимным и/или системным, то несложно создать эвристику - простую и быструю. И в случае фолсов Киберхелпер автоматом понимает, что та или иная эвристика вышла корявая - и убирает ее или дорабатывает (а так как каждая эвристика простая - установить причину фолсы несложно). Сейчас в AVZ уже несколько тысяч таких проверок - и их будет все больше, так как создаются они машиной и не требуется рутинная работа.


Добавлено:
Victor_VG

Цитата:

Олег! Персонально поздравляю с Новым Годом! И желаю счастья, здоровья и всего наилучшего!

Спасибо !
Я так-же поздравляю всех с наступающим Новым Годом ! (кстати, после праздников выйдет версия AVZ 4.36)

Oleg_Zaitsev

Спасибо! И с удовольствием воспользуюсь Вашей новинкой. AVZ часто выручает, особенно когда народ руткитов наловит. И даже выручила при установке проблемного драйвера на нетбук от Acer - соседка купила машинку с YOTA-модем на базе Intel 5150, а там из-за ошибок обновления драйвер не ставился - висел в памяти процесс демона поддержанный скрытым драйвером препятствовавшим его удалению из ОЗУ. С помощью AVZ удалось найти и снять процесс этого драйвера, после чего снять демона послав ему kill process было уже просто, и только тогда встало обновление и YOTA Access заработал увидев модем и сеть. Ошибка конечно была программистов Acer, но мне стоила нескольких часов работы по её поиску и устранению. Ребятки с Acer отреагировали на удивление оперативно - исправленный пакет драйверов выпустили через несколько часов после сообщения о причине ошибки. Им и обновились. Теперь новый демон вцепился в сеть зубами - ну не хочет он с воплями лететь вслед за приятелем получив пинка пониже копчика, и потому предпочитает честно работать дабы не выгнали за кривость с занимаемой должности.

И кстати, я думаю, что стоит на всякий случай проверить и внести в базы безопасных новый пакер mpress - сейчас на него срабатывают некоторые антивирусы, но думаю, что срабатывают именно потому, что он для них новинка, как в своё время было с UPX. А поскольку страничка пакера на сайте автора сейчас выдаёт 404-ю, я выложил копию скачанного у автора архива на rghost чтобы было проще с ним возится. Мне думается, автор обратил внимание на несоответствие выводимого номера версии 2.17 и и версии в структуре VERSION_INFO - там стоит номер версии 2.16b и сейчас видимо исправив опечатку перевыложит архив вместе с обновлением странички.

Цитата:

2. Некоторые проблемы могут оцениваться по разному в зависимости от результатов анализа;
Все проблемы с уровнем 2 и 3 вредят ПК и фиксить их нужно в любом случае, что и делается командой скрипта по заданному уровню.

А какой уровень присвоен:

Цитата:

>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

Заодно поздравляю всех с наступившим новым годом

regist123

Цитата:

А какой уровень присвоен:

Цитата:>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей


Заодно поздравляю всех с наступившим новым годом

Им присвоен уровень 3. В лог выводятся сообщения по проблемам с уровнем 2 и 3, в диалоге мастера поиска и устранения прорблем по умолчанию стоит уровень 2 - т.е. они согласуются

Oleg_Zaitsev 19:16 03-01-2011
Цитата:

Им присвоен уровень 3.

Да, я понимаю, что это дополнительная лазейка для заражения вирусами, но пользователь ведь может быть и против отключения у него автозапуска (в смысле потом могут быть жалобы, что ему его отключили). Может это лучше сделать отдельным пунктом в разделе Дополнительные операции:

regist123

В принципе мы и сами в скрипте можем поставить запрос об отключении автозапуска, раз, и вот интересный момент, друг на работе подсмотрел:

в корневом каталоге носителя создаём структуру: каталог ./AUTORUN.INF и файл AUTORUN.INF длиной 0 байт, ставим cmod 444 (Read Only) при атрибутах Скрытый, Системный, и очень многие вирусы которые прописываются в систему через AUTORUN.INF теряют способность к заражению таких носителей т.к. не могут записать свой файл автозапуска. Он говорил мне в какой мухобойке это подглядел, но яне обратил в тот момент внимания - не до того было, уловил краем уха идею, вспомнил о ней позже.

Victor_VG 14:22 04-01-2011
Цитата:

В принципе мы и сами в скрипте можем поставить запрос об отключении автозапуска,

речь идёт об автоматическом исправление проблемм с помощью мастера командой ExecuteWizard (почти во все скрипты лечения хелперы вставляют команду ExecuteWizard('TSW', 2, 3, true); или ExecuteWizard('TSW', 2, 2, true); т.к. Oleg_Zaitsev 13:52 31-12-2010
Цитата:

Все проблемы с уровнем 2 и 3 вредят ПК и фиксить их нужно в любом случае,

Цитата:

в корневом каталоге носителя создаём структуру: каталог ./AUTORUN.INF и файл AUTORUN.INF длиной 0 байт, ставим cmod 444 (Read Only) при атрибутах Скрытый, Системный, и очень многие вирусы которые прописываются в систему через AUTORUN.INF теряют способность к заражению таких носителей

этот трюк известен уже довольно давно, чтобы вручную не возиться в hex редакторе с атрибутами использую для этого программу USB Vaccine, тут на форуме где-то есть тема по этой программе и там же есть ссылка на чуть доработанную, которая файл AUTORUN.INF делает ещё скрытым.

regist123

Я с ним вообще просто поступаю - в конце форматирования генерю их в корне носителя скриптом с полным джентльменским набором атрибутов - скрытый, системный, только чтение. Благо скрутить это в скрипте формата - дело секундное. И не важно что это за скрипт - cmd, btm, sh, perl, rexx, ... пара команд в конвейере и всё.

USB Vaccine это которая от Panda Security? Если да, то я лучше пешком постою. После её применения зайти на флеку без уровня привилегий локальной системы не возможно. А за скачивание сего бреда Панда просит немного - только предоставить им свой e-mail и телефон:



мне только ихнего спама не хватало. Естественно, что на сей бред ссылок море в сети, да вот я не сильно такие фортеля жалую. Может им ещё и ключи от моей квартиры дать? А губа у них не треснет? Мухобойка - решето дырявое, и эта "защита" не лучше - очередной бред напившегося вдрызг студента. Нет, я уж лучше по старинке, без привлечения таких "гениальных" изобретений всё что надо сделаю.

Victor_VG 20:45 04-01-2011
Цитата:

USB Vaccine это которая от Panda Security?

не совсем я предпочитаю USBVaccine_47 хотя исходник для него указанная вами утилита.
ЗЫ. мы отошли и от изначального вопроса и от темы, для этой темы это всё оффтоп, обсуждение этих утилит здесь
PPS. Victor_VG если не сложно скиньте мне в личку свой вариант скрипта батника.

regist123

Вечерком скину.

Victor_VG

Цитата:

regist123
 
Вечерком скину.

а, может быть, можно и всем? прямо здесь?

VU Irvine

А я так и собираюсь. Только чуть отдохну - руки от перфоратора гудят. Тяжёлый зараза и отдача сильнее чем у ДШК.

новая версия после Старого нового года 4.36))

simsot1

Цитата:

новая версия после Старого нового года 4.36

На офсайте анонсов не нашёл. Вы экстрасенс? Или на Wikileaks что-то утекло?

Цитата:

На офсайте анонсов не нашёл. Вы экстрасенс? Или на Wikileaks что-то утекло?

На предыдущей странице об этом написал Олег Зайцев.

Подскажите, плз, а в windows 7 64-бит проблем не будет? Кто-нибудь пробовал?

Vescunja

Цитата:

Подскажите, плз, а в windows 7 64-бит проблем не будет? Кто-нибудь пробовал?

версия 4.35 без проблем

Цитата:

Подскажите, плз, а в windows 7 64-бит проблем не будет? Кто-нибудь пробовал?

не работает Бут-клинер и поиск руткитов.

regist123
на 4.35 все работает

opt_step
Как же он может работать, если драйвера не устанавливаются??? Нету поддержки пока 64-битный осей. Поэтому полным функционалом программа на x64 обладать не будет...

sewell

Цитата:

Как же он может работать

а вы попробуйте

opt_step
Пользую регулярно, но не для поиска руткитов под x64. А без этого он теряет в данных системах большую часть функциональности. Да и все, что я нашел под x64 - это китайский ATool и польский Gmer последней версии для работы с нулевым кольцом.

sewell

Цитата:

для поиска руткитов под x64

Назовите хотя бы один руткит под х64 (буткиты не считаются)

sewell
а с оф.сайта не катит http://z-oleg.com/secur/news/news1353.php?sphrase_id=17500
Основные модификации: [+++] Поддержка x64 в всех визардах (обработка x32 и x64 ключей реестра, это основная доработка [++]
gjf
сильно