akoK

Автокарантин AVZ

В этой теме 47 сообщений

:facepalm: уж лучше переименовали автокарантин virusinfo_cure.zip. Сколько лет просим...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
:facepalm: уж лучше переименовали автокарантин virusinfo_cure.zip. Сколько лет просим...

1. во что переименовать ?

2. как быть с тучей мест, где указано старое имя ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. во что переименовать ?

2. как быть с тучей мест, где указано старое имя ?

О. Это радует.

1. Варианты будут позже, попробую найти архив обсуждения с VI.

2. Справка AVZ что ли? В остальных местах virusinfo_cure.zip легко заменяем.

3. Может стоит разделить тему, а то тема уходит в сторону от нового сервиса который анонсировал Илья.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. во что переименовать ?

Как предложение virusinfo_autoquarantine.zip

Теперь перейдем к пункту 2. Какие проблемы тучами мест?

И наигрывается п.3 будет ли поправлена третья стандартная пилюля? А то запускать ее на x64 смысла нет, может стоит добавить проверку разрядности системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Как предложение virusinfo_autoquarantine.zip

2. Теперь перейдем к пункту 2. Какие проблемы тучами мест?

3. И наигрывается п.3 будет ли поправлена третья стандартная пилюля? А то запускать ее на x64 смысла нет, может стоит добавить проверку разрядности системы?

1. Не возражаю. Есть еще варианты/предложения/пожелания ? Если нет, то изменить не вопрос

2.1 На разных форумах, сайтах, инструкциях и т.п. есть упоминание старого имени файла. А так как у AVZ более миллиона активных юзеров, то даже доля процента с вопросом типа "у почему не создается файл xxx" создаст шквал обращений. Не смертельно, но тем не менее.

2.2 это попадет в AVZ через апдейт баз. Если пользователь не обновился - получит старое имя файла, обновился - новое. Мелочь, но тем не менее. По этому поводу есть мысль изменить методику распространения AVZ - вместо статического архива (обновляемого при выходе версии) сделать обновляемый скажем раз в 1-3 дня, с актуальными базами. Чтобы пользователь при скачивании архива всегда получал актуальную версию

3. Проверка разрядности там стоит (и автоматом выключается антируткит). Стоит другое поменять - в свете появления нового сервиса и бессмысленности "антивирусного сканирования" AVZ я думаю изменить пилюли 2-3, удалив из них сигнатурное сканирование ... точнее оно останется, но сканирвоаться будут только компоненты типа запущенных процессов, автозапуска и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Прекрасно. Думаю этап адаптации пройдет быстро и довольно безболезненно.

Может стоит вообще отказаться от сигнатурного детекта в AVZ? Это позволит уменьшить размер утилиты и разгрузить ресурсы для других задач. В дополнение к этому рассмотрите возможность объедения стандартных пилюль 2,3,7 в одну универсальную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прекрасно. Думаю этап адаптации пройдет быстро и довольно безболезненно.

Может стоит вообще отказаться от сигнатурного детекта в AVZ? Это позволит уменьшить размер утилиты и разгрузить ресурсы для других задач. В дополнение к этому рассмотрите возможность объедения стандартных пилюль 2,3,7 в одну универсальную.

Базы обновлены - можно пробовать. Имя будет virusinfo_autoquarantine_имяПК.zip

Про отаз от сигнатурного детекта я давно думаю. Толку значимого от него давно нет, да и базы я почти не обновляю, так как вместо сигнатурной сейчас ежедневно обновляется база эвристики по метаданным. Ресурсы оно не разгрузит, так как базы генерирует "кибер" на основнии накопленного опыта, ручного вмешательства пости не требуется. А вот на объем они сильно влияют - 4.1 мб из 6.7 мб общего объема баз занимают сигнатурные базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Про отаз от сигнатурного детекта я давно думаю.

Это возможно организовать в текущей версии AVZ или необходимо ждать новую версию? Работа с полиморфной версией без сигнатурных баз позволяет сказать, что эффективность AVZ не теряется, а вот экономия трафика существенная.

Вернусь к старому разговору. Есть ли возможность добавить в логи AVZ список файлов созданных за период (например за последние 30 дней) которые не прошли по БД безопасных файлов AVZ. Как показала практика это позволяет выловить зловредов которых пропускает стандартное сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обновил базы AVZ, провел сканирование. Был создан лог virusinfo_cure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Обновил базы AVZ, провел сканирование. Был создан лог virusinfo_cure.zip

А сейчас ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Работает. Получил virusinfo_autoquarantine.zip.

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Работает. Получил virusinfo_autoquarantine.zip.

Спасибо.

Отлично, эту проблему решили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Базы обновлены - можно пробовать. Имя будет virusinfo_autoquarantine_имяПК.zip

сегодня делал стандартный скрипт №4 и получил имя архива в таком формате. Его тоже переименовали ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
сегодня делал стандартный скрипт №4 и получил имя архива в таком формате. Его тоже переименовали ?

Нет, имя файла для пилюли номер 4 осталось прежним (я просто не тот шаблон сначала по ошибке поменял, сейчас все поправлено).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зайцев Олег в AVZ ver 4.35 одно из изменений было

[--] Исправлена проблема с форматирование даты и времени в протоколах (брались настройки форматирования

из системы, где они могут быть непредсказуемыми или поврежденными)

В xml логе формат даты у параметра MainDBDate по прежнему выводится в том же формате, как настройки системы. Нельзя ли это исправить. Лог с примером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег в AVZ ver 4.35 одно из изменений было

В xml логе формат даты у параметра MainDBDate по прежнему выводится в том же формате, как настройки системы. Нельзя ли это исправить. Лог с примером.

Да, есть такой глюк. Исправил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, есть такой глюк. Исправил

Тоесть исправление придёт с обновлением баз ? Пока всё по старому. Заодно хочу спросить, а почему всегда MainDBDate="30.12.1899" в логах AVPtool ? Если я правильно понимаю этот параметр должен равняться дате скачивания утилиты. Если нужно лог в качестве примера.

А также хочется попросить, чтобы в следующих версиях AVZ в XML лог добавлялась информация о .job файлах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тоесть исправление придёт с обновлением баз ? Пока всё по старому. Заодно хочу спросить, а почему всегда MainDBDate="30.12.1899" в логах AVPtool ? Если я правильно понимаю этот параметр должен равняться дате скачивания утилиты. Если нужно лог в качестве примера.

А также хочется попросить, чтобы в следующих версиях AVZ в XML лог добавлялась информация о .job файлах.

Исправление в коде, через обнволение баз не придет.

MainDBDate="30.12.1899" говорит о том, что сигнатурная база AVZ в AVPTool не используется, с датой загрузки утилиты это не связано

О JOB файлах информация добавляется, но только в Vista+ не все данные туда попадают. Это уже исправлено ... но есть момент - если JOB содержит что-то типа "cmd.exe /c cmd.exe regedit.exe ..." - то раскрутка будет идти до первого отличного от cmd.exe исполняемого файла, он оказывается легитимным и запись отфильтровывается из лога

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MainDBDate="30.12.1899" говорит о том, что сигнатурная база AVZ в AVPTool не используется, с датой загрузки утилиты это не связано

я думал, что этот дата обновления баз AVZ (у KVRT дата обновления вирусных баз и баз AVZ как я понимаю равна дате скачивания утилиты, вот и предположил что должно равняться дате скачивания).

О JOB файлах информация добавляется

наверно речь снова идёт о будущей версии ? (на всякий случай поясню имею ввиду вывод в лог xml информации о файлах типа: C:\WINDOWS\tasks\At1.job)

если JOB содержит что-то типа "cmd.exe /c cmd.exe regedit.exe ..."

а случай описанный здесь тоже предусмотрен ?

 ВХo‘ПГMЂ$ЖРЂ‹чF  < s  €!Ъ   ! C : \ W I N D O W S \ s y s t e m 3 2 \ r u n d l l 3 2 . e x e 0 " C : \ W I N D O W S \ s y s t e m 3 2 \ k h f g h E w x . d l l " , A d d R e f A c t C t x  5=8A  Ђ  0 Ч  Щ * <  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

После отправки карантина, Опера выбрасывает страницу 413 Request Entity Too Large

Что за ошибка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
После отправки карантина, Опера выбрасывает страницу 413 Request Entity Too Large

Что за ошибка?

Размер слишком велик для приема сервером. Какой размер получился у карантина ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зип архив в папке Log на 70мб

На мой сайт такой не пролезет, на http://virusinfo.info/virusdetector/ должен (у меня пролезает до 20, virusdetector - до 80-100 мб)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Блин, и туда показало 413 Request Entity Too Large :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Блин, и туда показало 413 Request Entity Too Large :huh:

А если через другой браузер ? Не исключено, что Opera как-то мудрено передает файл

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS