Ru-Board.club
← Вернуться в раздел «Программы»

» AVZ - Anti-SpyWare, Anti-AdWare

Автор: RW3DVK
Дата сообщения: 13.05.2010 13:53
setwolk Почитать и все вопросы отпадут, так как в инете и здесь на форуме ссылаются на форум ВирусИнфо на эту тему.
Автор: opt_step
Дата сообщения: 13.05.2010 14:15
setwolk
сделай экспорт ветки реестра в файл, удали всю ветку \MountPoints2 и посмотри устроит тебя или нет.

Цитата:
там столько подветок, там вся моя сеть, все шары куда я ходил по c$,
и зачем тебе это
и ещё утилита есть на озоне NoMoreAutorun (nmar)
[more]Справка по утилите NoMoreAutorun (nmar)

Любите ли вы вирусы проникающие на компьютеры на флэшках, так как их люблю я?

В общем решил я себе сделать подспорье в работе, небольшой скриптик, который отключает все возможные способы Автозапуска. Который, как известно, является наиглавнейшим после интернета способом распространения- выживания вирусов.
Проведя небольшое исследование я выяснил – для полноценной защиты необходимо отключить автозапуск со всех устройств кроме CD/DVD (с помощью параметра NoDriveTypeAutoRun ) и установить 2 обновления – KB967715 и KB971029.
Обратите внимание: обновления KB967715, KB953252 и KB950582 абсолютно идентичны по функционалу и нет нужды устанавливать их на систему одновременно. Единственное – для Windows Vista подойдет только KB950582 – этот момент скрипт обрабатывает.
Также для полноценной обороны нужно защитить все сменные носители от записи на них файлов autorun.inf – для предотвращения запуска вирусов с флэшки на компьютерах с включенным автозапуском.


Использование

Скрипт и GUI оболочка для скрипта применимы на системах Windows XP(RUS/ENG), Windows 2003 Server (RUS/ENG), Windows Vista (RUS/ENG);

GUI оболочка для скрипта.
Для облегчения использования скрипта начинающими пользователями участником конференции OsZone.net Drongo была сделана графическая оболочка (GUI).
Функционал GUI аналогичен работе скрипта, он формирует командную строку в зависимости от вашего выбора и запускает модифицированный вариант скрипта.

Опции GUI:

Раздел Режимы установки

Минимальные настройки [рекомендуется]
Аналогичен ключу -ms
Рекомендуемый режим использования утилиты:
Отключает автозапуск (автовоспроизведение) на всех дисках кроме CD\DVD;
1. Устанавливает обновления KB967715(KB950582), KB971029 если они нужны;
2. Задает значения параметров NoDriveTypeAutorun=223, HonorAutoRunSetting=1 в разделах реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;

Полный режим.
Аналогичен ключу -full
Более полный режим, дополнительно к настройкам Минимального режима очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей и защищает ее от изменений;

Параноидальный режим.
Аналогичен ключу –nomore
Может быть полезен для многоуровневого запрета автозапуска – например защиты от чересчур «умного» пользователя, если тот изменит одно значение, остальные будут запрещать автозапуск. В других случаев польза этого ключа сомнительна. Дополнительно к двум предыдущим режимам:
1. Принудительно устанавливает обновления KB967715(KB950582), KB971029;
2. Задает значения параметров NoDriveTypeAutorun=255, *.* = "", @ = @SYS: DoesIsAbsent, NoDriveAutoRun=0x3FFFFFF в разделах реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
3. Отключает службу Определение оборудования оболочки (ShellHWDetection);
4. Закрывает ветки реестра указанные в п.2 на запись;

Раздел Изменяемые настройки

Установить NoDriveTypeAutorun =
Аналогично ключу –doreg1
По умолчанию устанавливает значение параметра NoDriveTypeAutorun в ветках HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer равным 223 (0xDF), что отключает автозапуск со всех устройств, кроме CDROM\DVDROM. Можно задать свое значение как в десятичном, так и в шестнадцатиричном форматах. Дополнительно этот параметр устанавливает парметр HonorAutoRunSetting=1 в этом же подразделе реестра.






Установить @SYS:DoesIsAutorunKaput*
Аналогичен ключу –doreg2
Изменяет значение параметров реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
         *.* = "";
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
         @ = @SYS: DoesIsAutorunKaput

Установить NoDriveAutoRun
Аналогично ключу –doreg3
Изменяет значение параметра реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveAutorun=(по умолчанию 0, позволяет отключить автозапуск битовой маской для нужных приводов);

Включить службу ShellHWDetection
Аналогично ключу -dosrvon
Останавливает и отключает службу ShellHWDetection

Включить службу ShellHWDetection
Аналогично ключу -dosrvoff
Запускает ShellHWDetection

Очистить MountPoints2
Аналогично ключу -domountp
Очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей, информация содержащаяся в ветке сохраняется в REG- файл в папке nmar_backup для возможности восстановления.

Раздел Блокировать объект

Параметр NoDriveTypeAutorun
Аналогично ключу –lreg1
Блокирует ветки реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;

Параметр @SYS:DoesIsAutorunKaput*
Аналогичен ключу –lreg2
Блокирует ветки реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
        
Параметр NoDriveAutoRun
Аналогично ключу –lreg3
Блокирует ветки реестра: HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;

Параметр MountPoints2
Аналогично ключу -lmountp
Блокирует ветку реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2.

Добавление съемных USB устройств
Аналогично ключу -lusbadd
Запрещает установку новых USB устройств хранения (уже установленные будут работать);

Использование съемных USB устройств
Аналогично ключу -lusbuse
Запрещает использование всех USB устройств хранения;

Запись на съемные USB устройства
Аналогично ключу –lusbwrite
Запрещает запись на все USB устройства хранения;

Раздел Разблокировать объект

Параметр NoDriveTypeAutorun
Аналогично ключу –unreg1
Разблокирует ветки реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
Дополнительно устанавливает значения по умолчанию параметра NoDriveTypeAutorun;

Параметр @SYS:DoesIsAutorunKaput*
Аналогичен ключу –unreg2
Разблокирует ветки реестра:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
Удаляет значения заданные командой –doreg2
        
Параметр NoDriveAutoRun
Аналогично ключу –unreg3
Разблокирует ветки реестра: HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
Дополнительно устанавливает значения по умолчанию параметра NoDriveAutorun=0;



Параметр MountPoints2
Аналогично ключу -unmountp
Разблокирует ветку реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2.
Если в папке программы есть сохраненная копия раздела – восстанавливает ее.

Добавление съемных USB устройств
Аналогично ключу -unusbadd
Разрешает установку новых USB устройств хранения (уже установленные будут работать);

Использование съемных USB устройств
Аналогично ключу -unusbuse
Разрешает использование всех USB устройств хранения;

Запись на съемные USB устройства
Аналогично ключу –unusbwrite
Разрешает запись на все USB устройства хранения;

Раздел Дополнительные команды

Принудительная установка обновлений
Аналогично ключу –kb
Принудительно устанавливает обновления KB967715(KB950582), KB971029. Если их нет в папке с скриптом- он пытается скачать обновления с сайта Microsoft;

Защитить выбранный диск
Аналогично ключу –pd x:
Защитить диск x: (Создать защищенную папку Autorun.inf).

Защитить все диски
Аналогично ключу –pall
Защитить диск (Создать защищенную папку Autorun.inf) на всех доступных дисках;

Команда Разблокировать все
Аналогично ключу -unlockall
Открывает доступ на уровне разрешений ко всем ранее заблокированным объектам – файлам, ключам реестра;
Может использоваться для разблокировки этих объектов заблокированных вирусами. Рекомендуется в случае
ошибок или невозможности изменить параметры реестра, доступ к файлам. Если нет заранее сохраненных файлов настроек с разрешениями для объектов – применяются настройки разрешений по умолчанию – полный доступ для групп Администраторы и Система. *Также устанавливается в значение 1 параметр Autorun в ветке HKLM\SYSTEM\CurrentControlSet\Services\Cdrom.



Далее идет справка по консольному варианту утилиты.

В зависимости от использованного при запуске ключа утилита выполняет различные действия по отключению автозапуска.

Возможности скрипта:

- Работает с разделами (параметрами) реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun;
HonorAutorunSetting;
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun;
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
@=@SYS:DoesNotExist (в данной версии @=@SYS:DoesIsAbsent);
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
"*.*";
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2;

Скрипт может задавать значения этих параметров, блокировать доступ к ним, разблокировать доступ и возвращать значения по умолчанию этих ключей.

- Отключает \ запускает службу Определение оборудования оболочки (ShellHWDetection);

- Определяет наличие в системе KB967715(KB953252, KB950582) и KB971029, при необходимости скачивает их с сайта Microsoft и устанавливает. Также есть ключ для установки этих обновлений даже если они есть в системе (принудительная установка);

- Позволяет создать «неудаляемую» папку Autorun.inf, препятствующую записи вирусом своего файла autorun.inf – на текущем диске, на всех доступных дисках, на конкретном диске;

- Разблокировать доступ к вышеуказанным веткам реестра (в случае закрытия разрешений на доступ к ним вирусом);

- Запретить добавление новых USB устройств на компьютер (уже установленные будут работать);

- Запретить использование всех носителей информации USB на компьютере;

- Запретить запись на любые носители информации USB на компьютере (чтение доступно);

- Позволяет использовать ключи командной строки в заранее определенных комбинациях (т.н. макросы) или сформировать свою последовательность команд из более мелких опциональных команд;

- Ведет протокол работы в файл log.txt

В общем- то ничего революционного, просто полезные вещи для борьбы с вирусной заразой сведенные в одном файле. Надоело делать много разных действий руками...



Примечание:
В связи с тем, что блокируется доступ к некоторым веткам реестра, что не есть хорошо и возможны различные ошибки,
1. Я естественно снимаю с себя любую ответственность за последствия;
2. Желательно использование утилиты на установленной и настроенной системе (когда установлены все программы и службы, меньше вероятность, что одной из них срочно понадобится записать значение в один из защищаемых ключей);


Синтаксис:

nmar.cmd -ключ [опция] –ключ2[опция2] … -ключN[опцияN]



Ключи:

-help - показывает короткую справку на английском языке;

-ms - (minimal settings) Рекомендуемый режим использования утилиты:
Отключает автозапуск (автовоспроизведение) на всех дисках кроме CD\DVD;
1. Устанавливает обновления KB967715(KB950582), KB971029 если они нужны;
2. Задает значения параметров NoDriveTypeAutorun=223, HonorAutoRunSetting=1 в разделах реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;

-full - Более полный режим: выполняет все действия ключа –ms, плюс очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей и защищает ее от изменений;


-nomore – Т.н. параноидальный режим (не рекомендуется на компьютерах использующих групповую политику):
1. Принудительно устанавливает обновления KB967715(KB950582), KB971029;
2. Задает значения параметров NoDriveTypeAutorun=255, HonorAutoRunSetting=1, *.* = "", @ = @SYS: DoesIsAbsent, NoDriveAutoRun=0x3FFFFFF в разделах реестра HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
3. Очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей и защищает ее от изменений;
4. Отключает службу Определение оборудования оболочки (ShellHWDetection);
5. Закрывает ветки реестра указанные в п.2 на запись;


-kb - Принудительно устанавливает обновления KB967715(KB950582), KB971029. Если их нет в папке с скриптом- он пытается скачать обновления с сайта Microsoft;


-pd [x:] - защитить диск x: (Создать защищенную папку Autorun.inf), без указания буквы диска защищает
текущий диск (с которого был запущен скрипт);
-pall - защитить диск(Создать защищенную папку Autorun.inf) на всех доступных дисках;


-unlockall – открыть доступ на уровне разрешений ко всем ранее заблокированным объектам – файлам, ключам реестра;
    Может использоваться для разблокировки этих объектов заблокированных вирусами. Рекомендуется в случае
ошибок или невозможности изменить параметры реестра, доступ к файлам. Если нет заранее сохраненных файлов настроек с разрешениями для объектов – применяются настройки разрешений по умолчанию – полный доступ для групп Администраторы и Система. *Также устанавливается в значение 1 параметр Autorun в ветке HKLM\SYSTEM\CurrentControlSet\Services\Cdrom.

Ключи -do*** :

-doreg1 - изменяет значение параметров реестра:

1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
         NoDriveTypeAutorun=223;
2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
         HonorAutoRunSetting=1;

-doreg2 - изменяет значение параметров реестра:

1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
         *.* = "";
2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;
         @ = @SYS: DoesIsAutorunKaput

-doreg3 - изменяет значение параметра реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;
         NoDriveAutorun=(по умолчанию 0, позволяет отключить автозапуск битовой маской для нужных приводов);

-dosrvoff – Останавливает и отключает службу ShellHWDetection ;
-dosrvon– Запускает ShellHWDetection ;

-domountp - очищает ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 от всех записей, информация содержащаяся в ветке сохраняется в REG- файл в папке nmar_backup для возможности восстановления.


Ключи блокировки -l*** :

-lreg1 - закрывает доступ к параметру реестра:
        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;

-lreg2 - закрывает доступ к параметрам реестра:
     1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
     2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;

-lreg3 - закрывает доступ к параметру реестра:
        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;


-lusbadd – запрещает установку новых USB устройств хранения (уже установленные будут работать);
-lusbuse - запрещает использование всех USB устройств хранения;
-lusbwrite - запрещает запись на все USB устройства хранения;
-lmountp - закрывает доступ к параметру реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2;


Ключи разблокировки -un*** :

-unreg1 - открывает доступ и устанавливает значение ОС по умолчанию для параметра реестра:
        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;

-unreg2 - открывает доступ и устанавливает значение ОС по умолчанию для параметров реестра:
     1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files;
     2. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf;

-unreg3 - открывает доступ и устанавливает значение ОС по умолчанию для параметра реестра:
        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer;


-unusbadd - разрешает установку новых USB устройств хранения ;
-unusbuse - разрешает использование всех USB устройств хранения;
-unusbwrite - разрешает запись на все USB устройства хранения;

-unmountp открывает доступ к параметру реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2;

Опции имеют следующие ключи : -pd [x:], -doreg1 [0-0xFF], -doreg3 [0-0x3FFFFFF];
Блокировка- разблокировка доступа.
Блокировка- разблокировка доступа к объектам осуществляется через установку разрешений с помощью утилиты subinacl от компании Microsoft. Текущие разрешения объекта перед изменениями сохраняются в папку nmar_backup для возможности восстановления.
Файлы именуются названием ключа программы + дата+ время+имя компьютера. Для восстановления информации эти файлы надо переписать в одну папку со скриптом и переименовать, удалив часть имени справа от подчеркивания (включая подчеркивание). Пример: mountp_20091129_150201_comp13.log -> mountp.log. Только в этом случае сохраненная информация о разрешениях объектов будет использоваться, если программа не находит такого файла для какого- либо объекта – она применяет разрешения по умолчанию: полный доступ группе Администраторы и группе Система.
При блокировке доступа задается разрешение группе Все на чтение. Остальные группы удаляются.
Применение ключа –unlockall без файлов с информацией о разрешениях объектов приведет к заданию у всех объектов
на которые воздействует скрипт разрешений по умолчанию (по умолчанию для скрипта, а не для ОС). Поэтому применяйте этот ключ перед другими только в случае необходимости разблокировки объектов.
Авторские права
(с) 2009 volk1234 – Скрипт NoMoreAutorun
(с) 2009 Drongo – GUI оболочка NoMoreAutorun
(с) 2009 amel – секция скрипта для скачивания обновлений и обработки ключей
(с) Microsoft – утилита subinACL.exe
(с) http://curl.haxx.se – утилита curl.exe

Данный скрипт может использоваться, и распространятся в некоммерческих целях абсолютно свободно.

Лог изменений
9.5 b.530
Первый публичный вариант

9.11 b1129beta
Скрипт кардинально переработан, введены ключи запуска,
Работает с Windows XP/2003/Vista rus\eng

9.12 b124rc1
* исправлены ошибки:
* не сохранялась резервная копия ветки Mountpoints2
* неправильно работал ключ reg2- вместо правильной ветки блокировалась\разблокировалась ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
* не работал ключ -l usbadd не блокировалась установка новых USB устройств хранения данных

9.12 b124rc2

+ Значение NoDriveTypeAutorun теперь можно задавать самостоятельно из командной строки
Пример: nmar -do reg1 0xAA, по умолчанию NoDriveTypeAutorun=223. Значения можно задавать как в десятичной так и шестнадцатеричной системах счисления.
+ добавлены ключи -l usbwrite, -un usbwrite закрывающие\открывающие запись на USB устройства
хранения данных. Чтение с устройств доступно.
* Группа Все теперь удаляется из ACE при выполнении команды -un

9.12 b1220b3
    
* Переработан механизм обработки ключей, теперь в командной строке можно указывать сразу нужное
количество ключей, а не по одному. В связи с этим переработаны названия ключей.
* Начали разрабатывать GUI интерфейс.
* Объединил два ключа в один –pd x:. Если диск указан защищается диск, если нет защищается текущий.

    9.12 b1228rc4
    
    + Ведение лога.
    + Добавлены ключи -doreg3 –lreg3 –unreg3
    + Отдельная версия скрипта для GUI
[/more]

Автор: setwolk
Дата сообщения: 14.05.2010 07:07
RW3DVK
opt_step
Спасибо посмотрю, позже напишу чего сделал...
Автор: refremov
Дата сообщения: 24.05.2010 13:50
При проверке данной утилитой с обновленными базами(Win7 x86),постоянно выскакивает подобное окно:



Подскажите плиз,кто в курсе причину.
Автор: anfly
Дата сообщения: 24.05.2010 14:03
У меня тоже, нечто подобное.
Win7 x64

Автор: sert
Дата сообщения: 24.05.2010 14:17
refremov
anfly
смотрите 47 страницу.
Автор: refremov
Дата сообщения: 24.05.2010 14:18
Вот покопался на форуме,стр.45,нашёл такую подсказку:



убрать галку в отмеченной области.Вроде всё устранилось,только галка стоит по умолчанию в программе,после перезапуска приходиться обратно снимать.

Добавлено:
sert
Спасибо!Вроде разобрался.
Автор: anfly
Дата сообщения: 24.05.2010 14:48
sert
refremov
большое спасибо!
Автор: refremov
Дата сообщения: 24.05.2010 18:05
Ещё один вопрос:целесообразно ли использовать AVZ,если у меня установлен KIS2010,где по сути одна и та же Лаборатория Касперского?Или их работа чем то отличается при сканировании?



Автор: RW3DVK
Дата сообщения: 24.05.2010 23:22
refremov
Цитата:
Ещё один вопрос:целесообразно ли использовать AVZ,если у меня установлен KIS2010,где по сути одна и та же Лаборатория Касперского?Или их работа чем то отличается при сканировании?
Википедии
Автор: refremov
Дата сообщения: 25.05.2010 08:10
RW3DVK
Спасибо за информацию!
Автор: cuba65
Дата сообщения: 18.06.2010 08:46
На одной машине (XP SP3) какая-то хрень с обновлением. Пишет про ошибку 21,00002EFD. Версия последняя, файл хостс - чистый, Аваст и система обновляются нормально, сканирование ничего из вирусов и прочей дряни не находит. Прокси - нету. В настройках - Использовать настройки ИЕ (при смене на прямое соединение, то же самое). Проблема не новая, я почитал здесь. Но причиной было либо старая версия AVZ, либо последствия вируса... Здесь что-то еще..
Автор: ComradG
Дата сообщения: 18.06.2010 09:30
cuba65
Сделай снеп системы HiJackThis!'ом, посмотри что он пишет. Причины могут быть разные.
Автор: cuba65
Дата сообщения: 19.06.2010 21:44
ComradG
Посмотрел. Никакого криминала, к сожалению... Какая-то мистика
Автор: gjf
Дата сообщения: 20.06.2010 02:26
cuba65
Тема в моей подписи. Читайте шапку, выполняйте, пишите. Попробую помочь.
Автор: SamLab
Дата сообщения: 08.07.2010 12:27
AVZ 4.34

Вышла новая версия антивирусной утилиты AVZ - 4.34. Архив с утилитой содержит базу вирусов от 08.07.2010 - 275419 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 374 микропрограмм эвристики, 9 микропрограмм ИПУ, 224 микропрограммы поиска и устранения проблем, 213048 подписей безопасных файлов. Новая версия содержит ряд радикальных доработок и усовершенствований.
Основные модификации:
[+++] Новая подсистема расширенного эвристического иследования системы. Запускается в конце исследования системы, код исследования хранится в обновляемой базе, что позволяет добавлять новые процедуры исследования без обновления самого AVZ
[+++] Новая подсистема эвристической чистки системы на основе обновляемой базы данных
[+++] XML протокол: в протокол выведены данные менеджера анализатора протоколов и обработчиков, менеджера SPI/LSP, усовершенствован ряд существующих логов, в XML выведены данные о системе
[+++] Скрипт-язык: новые команды: ClearLog (очистка протокола),
ExecuteScript (загрузка и исполнение скрипта),
QuarantineFileF (расширенный карантин по набору условий),
ClearQuarantineEx (расширенная чистка крантина),
SysCleanGetFilesList (запрос списка файлов, назначенных на эвристическую чистку),
SysCleanSetFilesList (задание списка файлов для эвристической чистки),
DownloadFile (загрузка файла из Интернет),
FTPSendFile (отправка файла на FTP сервер)
[+++] Поддержка x64 (в диспетчере процессов отображается тип процесса, поиск файлов ведется с учетом разрядности процесса, карантин производится с учетом файлового редиректора (если есть идентичные файлы для x32 и x64, то карантинятся оба файла)
[++] Менеджер автозапуска - добавлен контроль ряда новых ключей
[++] Добавлен режим запуска на отдельном рабочем столе (ключ командной строки NewDsk=Y) для упрощения борьбы с блокерами-вымогателями
[+] Добавлен ключ командной строки QrOnlyEXE - для активации фильтра, разрешающего помещение в карантин только EXE файлов
[+] HTML протокол - добавлен дополнительный интерактив в разные точки протокола
[+] Эвристики ИПУ - добавлена запись данных о найденных потенциальных уязвимостях в XML
[-] Исправлен сбой антикейлоггера на Win7
[-] Исправлена ошибка в анализе ключей автозапуска (допускающие множественные значения параметры с единственным значением анализировались некорректно)
[-] Скрипты - исправлена работа функции DeleteService (были проблемы с удалением ключа службы в реестре)
[-] BootCleaner - удаление файлов с атрибутом ReadOnly не работало как положено
[-] Исправлена работа функции ClearQuarantine
[-] Исправлены незначительные баги в парсере имен файлов

В новой версии примерно в два раза расширена база чистых файлов. Для пополнения базы чистых создана специальная автономная система - http://virusinfo.info/index.php?page=cyberhelper (передать файлы в систему для устранения ложных срабатываний и ополнения базы чистых можно через форму на данном форуме http://virusinfo.info/index.php?page=uploadclean (инструкция и результаты загрузки - http://virusinfo.info/showthread.php?t=3519, для загрузки файлов не требуется регистрация)

Русская версия / зеркало (5.8 Mб)
Плагин для The BAT (386 Kб) (не обновился)
Редактор скриптов (799 Kб)

Ежедневное обновление баз
Автор: opt_step
Дата сообщения: 08.07.2010 12:48

Цитата:
AVZ 4.34 ... есть Поддержка x64

просто замечательно
еще поправил шапку
Автор: Ronin666
Дата сообщения: 08.07.2010 13:09
SamLab 13:27 08-07-2010
Цитата:
Вышла новая версия антивирусной утилиты AVZ - 4.34...


Цитата:
Исправлен сбой антикейлоггера на Win7

Отлично, а то раньше приходилось галку снимать.
Такой вопрос: сейчас стоит 4.32. Версию 4.34 просто распаковать из архива в папку со старой версией (с заменой файлов) или удалить все старые файлы из папки, а тогда уже распаковывать туда?
Автор: opt_step
Дата сообщения: 08.07.2010 14:43
Ronin666
без разницы
Автор: gjf
Дата сообщения: 08.07.2010 15:55
Ronin666
Для чистоты удалить старую и на её место распаковать новую.
Автор: Alex_Kanahin
Дата сообщения: 22.07.2010 06:46
Где скачать версию 4.34? Все ссылки не активны.
Обновления тоже недоступны.
Автор: Stalker61
Дата сообщения: 22.07.2010 06:56
Alex_Kanahin

Цитата:
Где скачать версию 4.34? Все ссылки не активны.
Обновления тоже недоступны.

http://z-oleg.com/avz4.zip (размер 6079521 байт)
MD5: 3251AF766498DEF44983094E6129B2CC
Автор: Chis1
Дата сообщения: 22.07.2010 06:58
Alex_Kanahin
Доступно все!!!
Автор: Victor_VG
Дата сообщения: 22.07.2010 08:22
Alex_Kanahin

У Олега всегда предусмотрено зеркало если у кого есть проблемы. Не ищите AVZ на всяких СофтДромах - они перекладывают всё часто с приличной задержкой, а всегда идите на сайт разработчика и берите всё что Вам надо там. Проблем всегда будет минимум.
Автор: dmitriin
Дата сообщения: 08.08.2010 23:21
программа AVZ - 4.34 с базой вирусов от 08.07.2010 не способна отключить/удалить вредоносную программу PC Defender antivirus. Вирус не новый/эксклюзивный, информации о нём в интернете предостаточно. Весьма странно, что AVZ совершенно не реагирует на работающие процессы данного вируса.
Очень сомнительную антивирусную защиту предоставляет AVZ.
Автор: ShIvADeSt
Дата сообщения: 09.08.2010 04:08
dmitriin

Цитата:
Очень сомнительную антивирусную защиту предоставляет AVZ.

Ну вообще то АВЗ - это антивирусная утилита, а не полноценный антивирус (и не позиционируется как оный). Вот примерный скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\Program Files\Def Group\PC Defender\pcdef.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\esecdrv.sys','');
QuarantineFile('C:\Documents and Settings\valmeev\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Documents and Settings\valmeev\Application Data\AdSubscribe\AdSubscribe.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
DeleteFile('C:\Program Files\Def Group\PC Defender\pcdef.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Defender');
DeleteFile('C:\WINDOWS\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\DOCUME~1\valmeev\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFileMask('C:\Documents and Settings\valmeev\Application Data\AdSubscribe', '*.*', true);
DeleteDirectory('C:\Documents and Settings\valmeev\Application Data\AdSubscribe');
DeleteFileMask('C:\Program Files\Def Group', '*.*', true);
DeleteDirectory('C:\Program Files\Def Group');
DeleteFileMask('C:\DOCUME~1\valmeev\APPLIC~1\FieryAds', '*.*', true);
DeleteDirectory('C:\DOCUME~1\valmeev\APPLIC~1\FieryAds');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

вырежи все лишнее и юзай.
Автор: dmitriin
Дата сообщения: 09.08.2010 15:45
ShIvADeSt

Цитата:
Вот примерный скрипт


Большое спасибо!
А правильно ли я поступлю, если не стану ничего вырезать, а лишь заменю valmeev на текущего пользователя?
Автор: Oleg_Zaitsev
Дата сообщения: 09.08.2010 21:58

Цитата:
Большое спасибо!
А правильно ли я поступлю, если не стану ничего вырезать, а лишь заменю valmeev на текущего пользователя?

В общем случае если поставлена цель угробить свой ПК (или не свой) - то правильно
Указанный скрипт - это пример сложного скрипта, выполняющего разные манипуляции с компьютером с целью прибить малварь: карантин, удаление файлов по именам и маскам, работа с реестром, нейтрализация руткитов, чистка системы и BootCleaner ... такой скрипт пишется индивидуально под конкретную проблему на конкретном ПК, после изучения специалистом полученных с этого ПК протоколов. Данный пример скорее всего прибъет PcDefender, но как крайняя мера - в идеале скрипт пишется по логам, неизвестно, что конкретно и где именно "живет" на данном ПК. Выполнять скрипты без анализа системы крайне нежелательно - есть шанс что-то упустить и недобить, или наоборот.

Добавлено:

Цитата:
программа AVZ - 4.34 с базой вирусов от 08.07.2010 не способна отключить/удалить вредоносную программу PC Defender antivirus. Вирус не новый/эксклюзивный, информации о нём в интернете предостаточно. Весьма странно, что AVZ совершенно не реагирует на работающие процессы данного вируса.
Очень сомнительную антивирусную защиту предоставляет AVZ.

Про сомнительную защиту - верно. Ибо AVZ совершенно не предназначен для защиты чего либо от чего либо. Это инструмент исследования и удаленного лечения малварей, там есть конечно сигнатурная база и база чистых, но это вспомогательные средства для некоторой автоматизации процесса лечения и его упрощения.

Добавлено:
gjf

Цитата:
Ronin666
Для чистоты удалить старую и на её место распаковать новую.

Именно так. Дело в том, что в ходе оптимизации баз число файлов в базе AVZ меняется в меньшую сторону, если распаковать "поверх", то что-то может остаться от старой версии, что будет не фатально конечно, но и хорошего в этом мало

Добавлено:
Victor_VG

Цитата:
У Олега всегда предусмотрено зеркало если у кого есть проблемы. Не ищите AVZ на всяких СофтДромах - они перекладывают всё часто с приличной задержкой, а всегда идите на сайт разработчика и берите всё что Вам надо там. Проблем всегда будет минимум.

Сейчас AVZ лежит на зеркалах ЛК, т.е. зеркал-источников много и с моего сайта идет не более чем редирект. Если загрузка не идет - то есть шанс, что это "дело рук" зловреда - есть зловреды, которые:
1. создают посторонние записи в файле hosts - лечится проверкой его содержимого
2. создают посторонние статические маршруты (их можно посмотреть командой route print)
3. подменяют DNS-ы своими собственными (необходимо сравнить DNS с DNS провайдера)
4. подменяют результаты запроса своими SPI/LSP провайдерами или по руткит принципу. Это хуже всего, вручную прибить бз должной подготовки сложно ...
Для 1-3 если зловред активен - он может восстанавливать эти настройки ...
Автор: sert
Дата сообщения: 10.08.2010 00:05
На драйвер utqymze0.sys реагируют некоторые антивирусы: троян/вирус/червь
Мда, забавно.
virustotal
Автор: ShIvADeSt
Дата сообщения: 10.08.2010 02:50
sert

Цитата:
На драйвер utqymze0.sys

Если это драйвер АВЗ, то это срабатывание эвристики, так как поведение ИМХО сходно с троянами-руткитами.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657

Предыдущая тема: Программы для учета потраченного времени


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.