» AVZ - Anti-SpyWare, Anti-AdWare

abz
Ты с какой версией AVZ работал? Думаю, не надо напоминать, что вопросы можно адресовать только к текущей AVZ 4.23 со свежими базами?

Цитата:

C:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши

Объясни мне, пожалуйста, зачем подозревать известный на весь мир файл в троянской DLL, если известно, что она на 100% перехватчик клавиатуры, но вовсе не троян? Есть этому разумное объяснение? И откуда бредовый процент вероятности в 99.68%, когда эта библиотека на 100% перехватчик и на 0% троян?!

Это ты в "Менеджере внедрённых DLL" увидел? Кстати полезная штука, и есть далеко не у всех. Написано же первым - Keylogger. И написано откуда % - поведенчекий анализатор на основе нейросети. В "Менеджере внедрённых DLL" указаны ВСЕ такие DLL, но найденные в базе безопасных выделены ЗЕЛЕНЫМ. Очень правильно. У меня correct.dll от PS 2.9 зеленый. А у тебя Punto Switcher какой версии ? Если твоего correct.dll нет в базе у Олега, так пошли ему!


Цитата:

Скажи можно после этого доверить его детищу проверку компа, если он не знает таких программ, как Punto Switcher, BlueSoleil, Hide Folders XP 2, Virtual CD, ну и для доказательства полного маразма: Adobe LM Servise, Intel Matrix Storage Manager, .NET Runtime Optimization Service (Корпорации Microsoft) не опознаны как безопасные!!! О. Зайцев вот так всех разоблачил

Ты бы почитал справку чуть-чуть прежде чем вопить. В AVZ есть база безопасных файлов, чего нет ни у кого другого. База эта пополняется, когда Олегу в руки попадает такой файл, в ней уже несколько десятков тысяч файлов. У АВ как правило два варианта - чист/заражен (подозрителен) - по мнению данного АВ. А у AVZ 3 варианта - есть в базе безопасных/чист, нет в базе/заражен (подозрителен). 1 - чист с гарантией, 2 - чист по мнению AVZ. Те проги, что ты перечислил - их что, AVZ подозревает? Если нет, то это вариант 2 - на уровне обычного АВ, и нечего кричать. Если да - нехорошо, конечно, надо разбираться. Покажи логи AVZ.


Цитата:

И на последок могу выложить мешок троянов, кейлоггеров и прочих паразитов в которых AVZ не видит ничего подозрительного.

1. AVZ совсем не ловит и не лечит файловые вирусы.
2. Ты и сам знаешь, что для любого АВ можно найти такой мешок. Тем не менее, база SpyWare,AdWare, Trojans, сетевых и почтовых червей у AVZ весьма достойная, лучше многих. И регулярно пополняется. На virusinfo проводились тесты - http://virusinfo.info/forumdisplay.php?f=57 Кстати, в этих тестах не участвовал Каспер, поскольку Олег всю найденную лично им и присланную ему заразу отсылал Касперу. Когда Олега спросили, был ли у него с Каспером обмен, он замялся, но судя по всему ничего ему ЛК взамен не присылала. Не знаю, посылает ли он что-то Касперу сейчас, но в ЛК AVZ знают, уважают и с Олегом сотрудничают (несколько односторонне правда на мой взгляд). Так что фанату Каспера наезжать на AVZ, к тому же будучи совершенно не в теме, даже неприлично как-то.
3. Но основная ценность AVZ все-таки не в вирусной базе. AVZ это мощное средство исследования компьютера, поиска и борьбы с засевшей заразой, особенно с неизвестной, в том числе с хитрыми руткитами, и восстановления системы после убийства зловредов. Сюда посмотрите, как спецы помогают юзерам с помощью AVZ http://virusinfo.info/forumdisplay.php?f=46

Benchmark

Цитата:

AVZ ... это утилита поиска скрытых и/или подозрительных процессов. Ни больше ни меньше.

Неправда.

Цитата:

Элементы антивируса там только в одном - некоторые разновидности руткитов она "знает" в лицо по сигнатурам + пытается анализировать поведение процессов. Собсно все.

Она ещё и отлично борется с найденными руткитами. Ну вот зачем писать ерунду? Ты сам работал с AVZ ? Какой версии? Ты хоть по меню AVZ походи, про AVZGuard и AVZPM почитай, прежде чем писать.

abz
ttp://webfile.ru/1275021
пробуй

ioppp

Цитата:

Это наоборот, надо сказать ОГРОМНОЕ СПАСИБО Олегу Зайцеву, что его прекрасная прога до сих пор бесплатна.

DJ makrus

Цитата:

Спасибо ему за эту, IMHO, замечательную программу и за то что для меня она бесплатна

Если она бесплатная,значит,автор так сам решил,не так ли?За что тогда спасибо?
Простите за офф,но практически весь топик пение дифирамб "лучшей в мире" программе и наезды на тех,кто посмеет её покритиковать.

Цитата:

Если она бесплатная,значит,автор так сам решил,не так ли?За что тогда спасибо?
Простите за офф,но практически весь топик пение дифирамб "лучшей в мире" программе и наезды на тех,кто посмеет её покритиковать.

...здесь обсуждение работы, а не бессмысленный флуд...

P.S. Sorry за флуд

rayoflight

Цитата:

Простите за офф,но практически весь топик пение дифирамб "лучшей в мире" программе и наезды на тех,кто посмеет её покритиковать.

Вот такое от abz -
Цитата:

Мой диагноз - в корзину. Этот утиль даже вреден, нежели полезен

- не критика, а наезд. На все нормальные замечания даны ответы. Есть критика по существу - давай.

Цитата:

Если она бесплатная,значит,автор так сам решил,не так ли?За что тогда спасибо?
Простите за офф,но практически весь топик пение дифирамб "лучшей в мире" программе и наезды на тех,кто посмеет её покритиковать.

За это и спасибо,что он прежде думает о нас своих соотечественниках,а не о том,что бы набить карман,спешно собрав пургу,как многие делают.Короче господа еще раз прошу вас давайте не будем делать поспешных выводов и наезжать без логических обоснований.Есть замечания,пишите,вместе разберемься,а так,плохая и все тут,это не серьезно.
А программа достойна того,что бы ее похвалить.Правда насчет наезда на критиков вы немного перегнули Уважаемый.Речь о серьезной критике,а не о пустозвонстве.Кто дело пишет,никто на него и не кидаеться.

to abz

Цитата:

от позиционирования названием и безмерных дифирамб и возникли у меня такие мысли...

Не вижу повода для беспокойства.
Если вам не понравилась программа вас никто не неволит ее использовать.

Я, как и многие другие "фанаты" AVZ использую эту утилиту в комплексе с HiJackThis (которая тоже не является панацеей). Тем не менее во многих нестандартных ситуациях, когда штатные антивирусы пропускали троян или кейлоггер,
эти утилиты выручали меня.


Если у вас есть другая любимая утилита для анализа и чистки системы, предложите альтернативу. Вам скажут "спасибо"


Цитата:

Объясни мне, пожалуйста, зачем подозревать известный на весь мир файл в троянской DLL, если известно, что она на 100% перехватчик клавиатуры, но вовсе не троян?

Ответ прост.

Анализ производится не по сигнатурам опасных объектов (как в случае антивирусных баз), а по поведению процессов и наличию в файлах потенциально опасного кода. После этого файл заносится в подозрительные.
А вот заносится файл в "безопасные"
после того, как автору присылают файл на анализ. ( собрать ВСЕ версии безопасных программ из группы риска у автора нет возможности, что в понятно ... Скажу больше, не все подверсии Касперского и Outpost внесены в безопасные, уж больно часто они меняются. И где сегодня достать прошлогоднюю версию 4.х.хх6,положим ? )
Если вы уверены, что файл безопасен, то вам не о чем волноваться.
Если не уверены, достаточно прислать его автору. Если он безопасен, то он будет занесен в "безопасные".
Таким образом, библиотека "безопасных" программ пополняется постоянно при участии пользователей программы.

BATMAN

Цитата:

Анализ производится не по сигнатурам опасных объектов (как в случае антивирусных баз), а по поведению процессов и наличию в файлах потенциально опасного кода.

Маленькая поправка - не только по сигнатурам.

Бесплатна -замечательно.Трудится человек,имея свою планку готовности.Захочет денег-пипл решит,покупать или нет.Читаю логи 2 года и кайф ловлю(проценты,вероятность и т.д)Для меня-просто детектив и информация к размышлению.Постоянно тусую софт и более информативной проги не выбрал-предложите Альтернативу(желательно в старой доброй школе-без всяких рюшечек)
Что есть база безопасных файлов?Ушедший поезд+дизайн=результат: дайте денег(все так красиво и за минуту ваш комп как младенец)Могу дать мешок подобных прог. Когда облом шевилиться,достаю из мешка и пользуюсь.

Цитата:

Скажи можно после этого доверить его детищу проверку компа, если он не знает таких программ, как Punto Switcher, BlueSoleil, Hide Folders XP 2, Virtual CD

Работают эти программы на моем компе и ни когда AVZ на них не наезжала. Странно почему у тебя по другому.

Здравствуйте. Вдруг решил зайти и давайте, останусь.
AVZ - замечательная программа.
Но замечания имеются, конечно. Сходу и по памяти:

Цитата:

использую эту утилиту в комплексе с HiJackThis (которая тоже не является панацеей). Тем не менее во многих нестандартных ситуациях, когда штатные антивирусы пропускали троян или кейлоггер, эти утилиты выручали меня.

Именно так. Но этих двух - недостаточно. Ещё несколько. Все вместе дают полную картину. Более-менее.

Цитата:

Таким образом, библиотека "безопасных" программ пополняется постоянно

А точнее? База состоит из названии/описаний файлов? Если так, и если кто-то добавит в безопасный файл небезопасное?

Цитата:

1. AVZ совсем не ловит и не лечит файловые вирусы.
2. Ты и сам знаешь, что для любого АВ можно найти такой мешок.

Так, так, и ещё раз так. И ещё раз.
В данном случае речь не о вирусах, а о Менеджере внедрённых DLL. AVZ у меня всегда показывает таким или один конкретний файл, или - два конкретных; но никогда - троих вместе. Это значит, что "поведенчекий анализатор на основе нейросети" в конкретный момент засекает только того или тех? Это железно?
Или...

Цитата:

Анализ производится не по сигнатурам опасных объектов (как в случае антивирусных баз), а по поведению процессов и наличию в файлах потенциально опасного кода

Вот, лежит кейлоггер - keybhook.dll. Как-то стал "штатным" для проверки. Он не активен, значит, и поведения нет, но код-то есть? И любая программа, имевшая место на диске и располагающая сканнером - а таких было много, признавали в нём кеёлоггер/перехватчик/монитор/и т. д., за исключением разве Антивира от Авиры. И вот, AVZ тоже не видит в нём такого кода! А я злюсь.
Если не возражаете, буду наблюдать.

Ха-ха-ха. Доношу на себя: Чайник я... Не говорил?
(вы знаете, что когда вам два человека скажут, что вы чайник, то должны выпустить пар? Один уже есть - я. Нужен второй.)
Приспичило удалить... Нет, не AVZ, а некое BHO, но с AVZ. В смысле: снял галочки со всех и оставил у одного, который "не найден", вдобавок выделил ту строку и "удалил". Оно исчезло, и не появлялось. Потом включаю ИЭ и вижу, что никаких BHO нет - ни на Панели инструментов, ни в меню Туулз. Даже полез восстанавливать Систему, хорошо, что одумался. Решил - ничего, поставлю всех заново.
Включил все тулзы по обнаружению вредностей - а их до 10 - ни один больше не показывает ни одного BHO. Здорово (для "временного блокирования", как потом уяснил).
Решил, что моя симпатия удалила некий общий знаменатель для всех BHO, поэтому они и пропали. Запускаю её и вижу, что все BHO на месте, а "знаменателя" нет. Стало обидно. Ведь я удалял в Менеджере Расширении Проводника тоже, так же "не найдённых", и удалял правильным образом - а они не удаляются.
...Потом догадался и включил галочки.

Всё-таки небольшой баг - другие ключи, относящиеся к Проводнику, не удаляются (один - БитДефендера, может быть защищён, но два других - не могут).
Небольшое неудобство: в Справке не сказано, что выделённым считается выделённое, а не с галочкой. Можно было догадаться по активации/деактивации кнопок, но всё-таки. И тот "знаменатель" (гм...) удалился, будучи выделённым (и с галочкой во всех случаях), не с первой попытки.
Большое и главное неудобство: нет прокрутки. А окна уходят широко вправо.

Включил-таки AVZGuard. И основная организация его работы НЕ понравилась.
Что AVZ должен один считаться довереным по умолчанию, нормально. Но добавлять каждое приложение самому - архинеудобно, как сказал бы Ильич. Это в самом деле годится только для анализа. Но не для Хранителя.
Пускай стартуют и просятся, а пользователю - выносить вердикт. Есть же программы, работающие таким образом (хотя по функционалу и близко не подойдут).

Цитата:

По умолчанию для доверенных приложений действует принцип наследования доверительных отношений - все запускаемые доверенным приложением процессы так-же считаются доверенными.

У меня Аутпост 1. Он и я считаем ИЭ доверенным - другого выхода нет. Не прижился Аутпост 4, так что не помню, как там было; но вот в Look'n'Stop ИЭ считается доверенным, но на задействование им каждого DLL также требуется дозволение. И это правильно (особенно в отношении ИЭ)...

Erekle

Цитата:

если кто-то добавит в безопасный файл небезопасное?

Это может сделать только автор программы.

Цитата:

А точнее? База состоит из названии/описаний файлов?

Я хочу понять, имеет ли такой подход ощутимой пользы.
Это - описания? Как то: название, контрольная сумма и так далее.

Речь не о том, что в каталог добавится небезопасный файл. А о том, что может иметься файл, который по всем таким параметрам (если база составлена так) будет соответствовать файлу из базы, но будет содержать вредный код. Попросту говоря - не оригинал, но по "одежде" - тот самый. И чтобы разоблачить, нужно "раздеть".
Если так, какая польза от базы?


Добавлено:
Этот инструмент всегда отвечал, что файл не опознан, как безопасный. И таких файлов могут быть ДЕСЯТКИ ТЫСЯЧ. И среди них небезопасных будет 0,Х %.
Например - XnView, только что проверил. Несколько десятков файлов, многие плагины - давностью в несколько лет. Все они - не опознаны.
А если и будут опознаны, где гарантия, что они на самом деле такие?
Всё это к тому, что, по моему скромному мнению Чайника, большого смысла в собирании такой базы нет. Да простит Олег...

Erekle
полностью с тобой согласен
что-то призадумались гуру над чайником

Давненько я сюда не заходил, мне один из пользателей сказал, что есть вопросы по программе ...
to Erekle
Видимо, нужны кое какие разъяснения:
1. База безопасных контролирует файл по двум направлениям - по базе ЭЦП Microsoft и по собственной базе, в которой хранятся размеры файлов (размер является индексом и доп. элементом защиты) и контрольные суммы (CRC считается для всего файла). Поэтому я не совсем понял суть рассуждений о каких-то названиях, описаниях ...
2. Назначение базы безопасных - это опознание распространенных процессов и DLL, которые чаще всего попадают в протоколы исследования. Делается это для упрощения анализа протоколов - дабы не терять время на безопасные объекты в ходе анализа. При этом естественно никто не ставит задачи вносить в эту базу какие-то непонятные программы или плагины - только распространенные EXE,DLL и драйвера. Это проще всего пронаблюдать, если посмотреть логи раздела "Помогите" на virusinfo.info - за счет этой базы из сотен файлов в лог попадают десятки. Пополняю базу только я, после тщательного анализа. И постоянно идет перепроверка базы - для перестраховки ...
3. AVZGuard. Все есть в справке, если кратко - это инструмент для блокировки активности зловредов, которые сопротивляются удалению - пересоздают файлы на диске, ключи в реестре, модифицируют память процессов. Включается он только при необходимости и исключительно на время лечения зловреда. Подробнее - см. _http://www.z-oleg.com/secur/avz/avzguard.php, особенно красный текст внизу
4. Менеджер внедренных DLL показывает то, что загружено и активно в данный момент, по факту. Аналогично поведенческий анализатор - он, понятное дело, изучает поведение внедренных DLL, которые не опознались как безопасные

Цитата:

один из пользателей сказал, что есть вопросы по программе ...

один единственный вопрос Oleg_Zaitsev
: удаление программы (инструкция)
P.S.дистрибьюторам,адвокатам и прочим обвинителямвофлуде - просьба не утруждаться...

Цитата:

Цитата:один из пользателей сказал, что есть вопросы по программе ...

один единственный вопрос Oleg_Zaitsev
: удаление программы (инструкция)

Удаление какой программы ? Если AVZ, то он не исталлируется, поэтому может работать с флешки, компакт диска и любого каталога HDD, и соответственно удаляется обычным стиранием (именно поэтому в дистрибутиве нет инсталлятора и деинсталлятора - они просто не нужны). Единственное воздействие на систему - это драйвера, которые AVZ создает на сеанс и автоматически удаляет. Плюс для любителей тотальной чистки в стандартных скриптах предусмотрен п.п. 6 "Удаление всех драйверов и ключей реестра AVZ", который автоматически зачищает и удаляет все, что могло остаться от AVZ в реестре.

Спасибо Вам большое, особо за то, что зашли ответить именно мне - Чайнику (но вопросы оказались, видимо, не из сложных...).

С базой теперь понятно - с её помощью следует проверять только распространенные. Конкретно об этом я не находил ни в справке (хотя читал её два года назад), ни на сайте. К тому же, имелось в виду и Ваше высказывание на форуме, что "сигнатурный поиск от природы своей ограничен"...
(Выходит, эта база имеет суженный ареал применения; но смотря, с какой стороны смотреть. Для меня её значение выросло)

AVZGuard - включил "всё-таки" из-за красного текста, но вовсе ЗАБЫЛ, что "доверенное приложение запускается из меню"; поэтому (это и подразумевалось под словами "основная организация работы", т. е. порядок добавления приложений) надеялся увидеть что-то вроде механизма SSM или DefenseWall - чтобы его можно было использовать как некий монитор (о желательности которого говорилось и на форуме); чтобы не проверять или искать отдельное приложение, а контролировать ВСЕ. В таком случае Guard соответствовал бы своему названию...

Но главное, что волнует - это довольно низкая эффективность AVZ, как (эвристического) сканера, тем более, что про слово "эвристика" узнал от Вас. Большинство файлов, которые антивирусом (даже NAV, который у меня и который ловит только самое-самое) и различными анти-спайваре программами опознавались как вредные - и были такими - AVZ не засекал. Типичный пример: в справке RAdmin приведён как образец, но программа не видит его при максимальном уровне эвристики...

Ещё раз спасибо за ответы!

Oleg_Zaitsev, - спасибо за ответ!

Цитата:

Но главное, что волнует - это довольно низкая эффективность AVZ, как (эвристического) сканера, тем более, что про слово "эвристика" узнал от Вас. Большинство файлов, которые антивирусом (даже NAV, который у меня и который ловит только самое-самое) и различными анти-спайваре программами опознавались как вредные - и были такими - AVZ не засекал. Типичный пример: в справке RAdmin приведён как образец, но программа не видит его при максимальном уровне эвристики...

Вы можете прислать образцы - я посмотрю, что к чему. К примеру, RAdmin прописан в базе безопасных и потому эвристика для него блокируется.

Oleg_Zaitsev
Как то раз мне пришлось бороться с вирусом, который, как потом выяснилось сидел в потоке NTFS. AVZ опознал его только тогда, когда был подгружен грязный реестр к чистой системе. И написал "обнаружена опасная программа в потоке NTFS" До этого, при загрузке c чистого диска и сканировании С: AVZ ничего не находил.

Значит ли это, что с вирусами на NTFS гораздо сложнее бороться и находить их, чем на FAT32. Т.е. хвалёная надёжность NTFS обернулась нам повышенным риском с точки зрения безопасности ?

Цитата:

Значит ли это, что с вирусами на NTFS гораздо сложнее бороться и находить их, чем на FAT32. Т.е. хвалёная надёжность NTFS обернулась нам повышенным риском с точки зрения безопасности ?

В некотором плане да - известно множество зловредов, которые помещают свои исполняемые файлы в потоки NTFS. Причем необязательно в потоки файлов - у каталога NTFS тоже можно создать поток. В сочетании с руткит маскировкой (перехват функций или драйвер-фильтр) такой зловред становится сложным для удаления.

Oleg_Zaitsev

Цитата:

такой зловред становится сложным для удаления

Я так понимаю, что и для распознавания тоже ?
Или я просто что-то не так сделал? Тогда еще AVZPM не было правда ...
Восстановить реестр не удалось. Все точки восстановления были запорчены. Реестр был искорёжен до неузнаваемости (все пути к папкам и файлам кракозябрами забиты).
Др.Веб c последними обновлениями вообще "молчал в тряпочку"

Цитата:

Я так понимаю, что и для распознавания тоже ?
Или я просто что-то не так сделал? Тогда еще AVZPM не было правда ...

Без логов сказать трудно ... вот если бы образец зловреда уцелел, то можно было бы точно сказать, как он маскируется и что портит. Но в природе есть масса зловредов, которая необратимо поганит реестр, не заботясь о дальшейшей работоспособности системы

Erekle 01:10 28-01-2007
Цитата:

AVZ - замечательная программа.
Но замечания имеются, конечно. Сходу и по памяти:

Цитата: использую эту утилиту в комплексе с HiJackThis (которая тоже не является панацеей). Тем не менее во многих нестандартных ситуациях, когда штатные антивирусы пропускали троян или кейлоггер, эти утилиты выручали меня.

Именно так. Но этих двух - недостаточно. Ещё несколько. Все вместе дают полную картину. Более-менее.

Oleg_Zaitsev
Добро пожаловать!

Erekle

Цитата:

Выходит, эта база имеет суженный ареал применения

Нет, не выходит. Вам, как Чайнику, полезно задавать вопросы, но рано делать такие выводы. Почитайте справку внимательно. И будьте аккуратны при самолечении с помощью AVZ.

Цитата:

Большинство файлов, которые антивирусом (даже NAV, который у меня и который ловит только самое-самое) и различными анти-спайваре программами опознавались как вредные - и были такими - AVZ не засекал.

Бывает. AVZ - в первую очередь средство борьбы с активной неизвестной заразой.
Приведите примеры (покажите кусок лога AVZ где сказано, что эти файлы чистые), пошлите эти файлы Олегу.

Цитата:

Цитата: Выходит, эта база имеет суженный ареал применения
Нет, не выходит. Вам, как Чайнику, полезно задавать вопросы, но рано делать такие выводы.

Сказано - выходит! Автор изложил вполне понятно и полезно вчитываться в смысл сказанного.

Цитата:

(покажите кусок лога AVZ где сказано, что эти файлы чистые)

Я-то не эксперт, конечно, но вещи попроще понимаю лучше. К чему лог, в котором положительного результата на "прививку" нет? "Чистые" логи не храню - не вижу смысла.

(Пинать и бить можно долго и болезненно, сколько душе угодно, чайник из железа, всё стерпит; а в суд за клевету, надеюсь, не потащите.)

Так как есть совесть, вношу ясность. Автору - отдельное извинение, что с опозданием, не с чем и немного не по делу.
Два дня я искал "живого" примера из бывшего ассортимента, сначала у себя, включая - с восстановлением недавно удалённых файлов, потом по страницам, где обогатился в своё время, в надежде подцепить снова (в т. ч. одно из "вэб-колец", 100 сайтов, заражёнными тогда попались две, но точно какие, не помню). Чистоты рады, чтобы иметь именно те, которые у меня были, а не копии, которых можно найти в сети. Не повезло.
Во-первых, в архиве целым найден только winres.dll (с Trojan.Win32.Ideach.g), которого ни AVZ, ни другие тогда не детектировали, сейчас же видят все; но этот файл я уже отсылал два года назад. Остальные из того периода - только в урезанном виде, которые я тогда искромсал в Блокноте, по ходу пойска "улик", да и опасаясь, чтобы не ожили (winres проходил как подозрительный). Их тоже никто не обнаруживал (их тоже отослал).

В прошлом году было несколько файлов - продукты по части незаконного взлома программ - эти файлы с серверов уже удалены за давностью. ДОЛЖЕН добавить: большинство их (но не все) определялись, как не-вирус / hack tool /... Я про себя приплюсовал к этому, НЕ подумав, и группу специальных программ с конструктора liveCD, которые NAV, ясно, считает "вирусами" ("неизвестный win32 вирус", как и темп-файлы AVZ, кажется), а многие другие - считают файлами риска; но AVZ, разумеется, не будет определять их так, что и нормально. Теперь понимаю, что кейлоггер от легального продукта - в данном случае - keybhook.dll от Spyanytime_PC_Spy (вроде, как по инету поискал) тоже может быть вне подозрений. Но если я его НЕ ставил? Он всегда будет кесаревой женой?

И - месяц назад. Тогда Нортон удалил только активных - snatch2.exe и *html с кодом (примерно такой), а они притащили ещё много и вместе наделали тоже много чего. Это добро скачивалось с такой-то-rbbnetwork по рекламным ссылкам, но теперь их нет. Притащённое искал и удалял вручную (с помощью утилит, и AVZ). После этого и поставил снова A-squared и обзавёлся AVG.
AVZ, которым я просканировал диск до этих двух, ничего не показал (эвристика по умолчанию - КАЮСЬ), а последние (к примеру, AVG, журнал которого перед глазами), указали в system32 на: rsvp32_2.dll -> Proxy.Cimuz.bw, netmsgp.exe -> Trojan.Ceda.b, 944180972.dll -> Trojan.Ceda.b. Это было на третьем круге пойсков, поэтому я сгоряча и непредусмотрительно сразу умертвил их.
Думается, что это была вредность. Да, ещё был некий soks.exe, удалённый мною до А2 и AVG, методом "самолечения" и по тяге к необоснованным обвинениям; icq.exe - может, легальный; а также несколько легального, но вредного софта от MS (последнее, ясно, не подлежало детектированию).
Вполне может быть, и руки у меня кривые.
Что AVZ уловил многое, прозеванное антивирусом и всеми знаменитостями того периода, но пропустил парочку, одного - в Downloaded Program Files (как и все), писал Олегу года два назад.

Цитата:

AVZ - в первую очередь средство борьбы с активной неизвестной заразой

Может, ошибаюсь (пар из ушей ). От эвристики я - почему-то - жду, чтобы была обнаружена (хотя бы как подозрительная) и неактивная зараза. ЕCЛИ это возможно.
К примеру, вышеуказанный код можно скопировать и сохранить как x.txt. AVZ этот файл при максимуме эвристики не считает вредным, а AVG Anti-Spyware говорит, что это Downloader.Agent.bx Но этот же текст в обличии *bmp он уже не видит. Winres в текстовой "одежде" он видит - как и AVZ - а как рисунок - нет.
Наверное, всё это не эвристика, а простое сравнение с имеющимся в базе кодом? И вреда такое, разумеется, не нанесёт, но если это будет *exe? Пускай запустится, а потом лечиться будем? И тут приходит мысль, сначала проверять, а потом запустить, если подозрения имеются.
Или - осталось урезанное содержимое файла icyfox.exe, в своё время успешно отвертевшегося от всех и вся и пойманного голыми руками. В этом чём-то есть линк наоборот - #exe.1130/etadpu/moc.tsohaba.www//:ptth - и ясно, что назначение - притащить этот 0311. Но можно ли обнаруживать это?

Ещё раз прошу прощения за за длинний оффтоп и за "обвинения", оказавшиеся голословными. Два дня - как гора на плечах... Или как тяжёлая крышка сверху.

Timka - ответ вернул по ПМ.

Друзья!Я конечно не буду отрицать факт,что являюсь фанатом AVZ,но хочу малость поделиться своим маленьким опытом работы с этой программой.Никому правда рекомендовать это не буду,но думаю что кто то и рискнет.Как уже говорилось утилита не даете 100% гарантию,но чем больше мы будет отправляль Олегу подозрительных файлов,тем больше шансов у нее при работе в дальнейшем.Короче говоря,я использую AVZ,на максимальном уровне,а затем уже ручками поправляю что то,а что то отсылаю Олегу.При этом правда хочу подтвердить свои слова и поддержать
Цитата:

Panzer

.С этой программой нужно быть весьма осторожным.Об этом кстати и в помощи говориться.Неумелому пользователю,не долго и до беды.
Но если не пытаться бездумно лечить,удалять,то ваши шансы увеличаться на много.Максимальный уровень эвристики выявляет практически все и я не боюсь это утверждать,Проверено.

Может чел где на стороне скачал? С букетом тараканов . Вот и не понимает , русского языка. А может посты таким образом набирает. Говорят же программа не инсталлируется ... просто ложится папка на рабочий стол (ну или куда там ее сам положишь) и все. Работай не хочу.
Ну не может программа не имеющая инсталляции иметь записи в реестре наравне с монстром нортоном. Да и по размерам если сравнить то AVZ просто песчинка по сравнению с ним.
В общем из пустого в порожнее получается, скачай, установи, сотри , сделай скрины "приличного букета" в реестре, потом поговорим и Олега пригласим, а то что дергать человека из за голословных высказываний.