Jump to content
D.

Ошибки утилиты AVZ

Recommended Posts

В данном топике принимаются ошибки в работе утилиты AVZ. Напоминаем, что текущая версия утилиты 4.34.

Share this post


Link to post

Доброго времени суток!

Смущает "Мастер поиска и устранения проблем". После поиска и исправления, появляются вновь...

Запуск avz4.34.0.0 от админа; с включеным мониторигом и установленным драйвером защиты/ и без них; с /и без kis9.0.0.736(a.b.c);

Система Win 6.1.7600. Возможно на сервере уже лежит не avz4.34.0.0?

Спасибо !

virusinfo_syscheck.zip

post-175865-1278790964_thumb.jpg

post-175865-1278790982_thumb.jpg

Share this post


Link to post

Олег, реестр так и не чистится после удаления файла в разделе Модули расширения системы печати (мониторы печати, провайдеры)

 

http://virusinfo.info/showthread.php?t=82541

Edited by thyrex

Share this post


Link to post
Олег, реестр так и не чистится после удаления файла в разделе Модули расширения системы печати (мониторы печати, провайдеры)

 

http://virusinfo.info/showthread.php?t=82541

Да, баг подтвердился (в AVZ теперь есть новая подсистема есть для таких чисток - вот в ней и глюк ...). Поправлю, примерно через месяц будет следующая версия - по мере накопления и исправления багов по данной

Share this post


Link to post

Олег, а драйвера под x64 как скоро появятся?

Share this post


Link to post

Еще один вопрос:

Простой опыт - заведомо чистая вируалка, создаю запрос в 911 на якобы зараженную систему (симптомы какие угодно, я укзазал "рассылка СПАМа с моей системы"), запускаю Precess Explorer Руссиновича, и создаю логи, которые робот попросил...

 

Получаю скрипт "карантин драйвера PE" :(

Оно как-то полечить можно?

 

 

Share this post


Link to post
запрос в 911 на якобы зараженную систему

Назови номер запроса в 911.

Share this post


Link to post

Олег, http://virusinfo.info/showthread.php?t=84479

 

После удаления

 DeleteFile('C:\WINDOWS\system32\myrcugrd.dll');

запись о нем в реестре осталась

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

"SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, myrcugrd.dll

Edited by thyrex

Share this post


Link to post

Возникла такая проблема, что после добавления любого файла в карантин, его невозможно восстановить !!! (С другими версиями было так же)

Что делать ? Как достать оттуда файлы, иначе ? СРОЧНО !

Edited by Kamazok

Share this post


Link to post

Здравствуйте Олег.

файл-wwwznv32.exe

не удаляется авз

Пример

Kamazok

Файлы, которые попадают в карантин- не удаляются.

Edited by help?

Share this post


Link to post

Уже удалось выяснить, что в безопасном режиме wwwznv32.exe и monoca32.exe удаляются хорошо

Share this post


Link to post

А с обычным режимом будет в будущем удаляться?

Share this post


Link to post
Олег, а драйвера под x64 как скоро появятся?

Появятся, сколь скоро - сказать трудно, как только появятся зловреды, которые потребуют использования таких драйверов.

Share this post


Link to post

Олег

 

В справке к команде RegKeyIntParamWrite говорится, что последний параметр - число. Почему тогда проверка на ошибки скрипта, содержащего такие строки

RegKeyIntParamWrite('HKLM', RootStr, 'ErrorControl', '1');
RegKeyIntParamWrite('HKLM', RootStr, 'ErrorControl', 'абракадабра');

проходит успешно?

Share this post


Link to post
26002

"Карантин" в терминах AVZ != удаление драйвера.

Карантин - это просто копирование файла для исследования Кибером.

Так что все в порядке, просто Киберу не встречался еще этот файл, и он захотел на него взглянуть.

Share this post


Link to post

У меня вылетание AVZ в момент выполнения довольно длинного скрипта сбора файлов в карантин.

Интересуют данные по этому падению ? И какие ?

Share this post


Link to post
У меня вылетание AVZ в момент выполнения довольно длинного скрипта сбора файлов в карантин.

Конкретно - AVZ рушится в момент выполнения команды SearchRootkit(true, true);

Share this post


Link to post
Интересуют данные по этому падению ? И какие ?

Интересуют. В первую очередь:

* полное название операционной системы

* текст этого скрипта

Share this post


Link to post
Длинные пути, которых нет. Отчёт в соседней ветке форума.

К сожалению такие пути есть (это не более как циклическая ссылка, и идет бесконечная рекурсия). Я уже поставил один фильтр против таких, видимо мало - поставлю еще... бага зафиксирована, спасибо

Share this post


Link to post
Олег, http://virusinfo.info/showthread.php?t=84479

После удаления

 DeleteFile('C:\WINDOWS\system32\myrcugrd.dll');

запись о нем в реестре осталась

Это нормальная реакция, так и сделано. Дело в том, что удалялся файл с полным путем, а в непочищенной ветке реестра он без пути. В такой ситуации нельзя со 100% уверенностью сказать, что речь идет об одном и том-же файле.

Путей решения проблемы два:

1. Добавить в список файлов для эвристической чистки эту DLL без пути (при это визуально убедившись, что ее имя не похоже на что-то системное и опасная ошибка исключена) - с помощью SysCleanAddFile

2. почистить такой ключ непостредственно, командами правки реестра скрипт языка

Share this post


Link to post

"Мастер поиска и устранения проблем" - "Чистка системы". Можно очистить корзину, даже если она пуста

Share this post


Link to post
"Мастер поиска и устранения проблем" - "Чистка системы". Можно очистить корзину, даже если она пуста

Это она в проводнике визуально пустая, но раз визард предлагает чистить - значит, там что-то есть. Визард рассчитан на то, чтобы вычистить из корзины абсолютно все ... пример - вирусяк копирует себя в корзину, так делают многие Flash-червяки. При этом корзина естественно пустая, так как это просто посторонний файл где-то там в недрал папки RECYCLER

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.