Антивирусная утилита AVZ 5

Антивирусная утилита AVZ 5 5.91

Sergei

VIP
Сообщения
321
Реакции
141
  • Первое сообщение
  • #1
Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:
  • Разнообразных шпионских и рекламных приложений (SpyWare и AdvWare). Это одно из основных назначений утилиты;
  • Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем;
  • Майнеров криптовалюты;
  • Руткитов и вредоносных программ, маскирующих свои процессы.
  • Сетевых и почтовых червей;
  • Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
  • Программ двойственного назначения, например - утилит удаленного управления компьютером. Для данных утилит следует учитывать, что они могут опознаваться как безопасные и помечаться зеленым цветом в таблицах и отчетах.

Изначально утилита являлась прямым аналогом программ типа Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление AdWare, SpyWare и троянских программ.
Сразу следует отметить, что программы категорий SpyWare, AdWare по определению не являются вирусами или троянскими программами. Они шпионят за пользователем, собирая и отправляя определенную статистику, а также загружают информацию и программный код на пораженный компьютер, причем в основном из маркетинговых соображений (т.е. передаваемая информация не содержит критических данных – паролей, номеров кредитных карт и т.п., а загружаемая информация является рекламой или обновлениями). Однако очень часто грань между SpyWare и троянской программой достаточно условна и точная классификация затруднительна.


Актуальные ссылки:
Справка:

http://z-oleg.com/secur/avz_doc/

AVZ 4:
https://z-oleg.com/avz4.zip
Архив с базами (обновляется ежедневно)

AVZ 5:
Архив с базами (обновляется ежедневно)
Полиморфная версия, для сложных случаев (обновляется с запозданием)
Полноценная версия с обновляемыми базами


AutoLogger [regist & Drongo] - в составе находится актуальная версия AVZ.
 
Последнее редактирование модератором:
Код:
 Host="www.kaspersky.com", IP="77.74.178.16", Ping=Error (11010,0,0.0.0.0)
  Host="www.kaspersky.ru", IP="93.159.228.17", Ping=Error (11010,0,0.0.0.0)
Может не совсем сюда, но зачем они пингуют так ?
Это такой тест или ошибка ?
Код:
C:\Windows\system32>ping www.kaspersky.ru

Обмен пакетами с www-ru.geo.kaspersky.com [93.159.228.17] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 93.159.228.17:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

C:\Windows\system32>ping kaspersky.ru

Обмен пакетами с kaspersky.ru [62.128.100.145] с 32 байтами данных:
Ответ от 62.128.100.145: число байт=32 время=94мс TTL=54
Ответ от 62.128.100.145: число байт=32 время=107мс TTL=54
Ответ от 62.128.100.145: число байт=32 время=108мс TTL=54
Ответ от 62.128.100.145: число байт=32 время=110мс TTL=54

Статистика Ping для 62.128.100.145:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 94мсек, Максимальное = 110 мсек, Среднее = 104 мсек

C:\Windows\system32>
 
Последнее редактирование модератором:
Может не совсем сюда, но зачем они пингуют так ?
Это такой тест или ошибка ?
вопрос не понятен. Если почему пинг не прошёл, то это наверно в ЛК вопрос либо к вашему провайдеру. Если зачем вообще это, то да это тест и дополнительная информация для хелпера.
А вот тут почему у вас http://google.ru/ - из логера хром виснет - не может редиректнуться --> https://www.google.ru/?gws_rd=ssl
Для автологера главное, чтобы запустился браузер, а откроется там сайт или нет это не важно. Да и поиском гугла можно пользоваться и с этой странички, но во время создания лога надо просто сидеть и ждать окончания сбора логов, а не шастать по сайтам. А https в теории могут быть проблемы, в общем менять не вижу никакого смысла. Если что проще гугл заменить на другой сайт ;).
 
Последнее редактирование:
вопрос не понятен. Если почему пинг не прошёл, то это наверно в ЛК вопрос либо к вашему провайдеру. Если зачем вообще это, то да это тест и дополнительная информация для хелпера.
Золотые слова ! Но тогда о чём это скажет хелперу. Либо это отрицательный тест, то есть ответа быть не должно..

Для автологера главное, чтобы запустился браузер, а откроется там сайт или нет это не важно.
У меня слетел AdBlockPlus после этого.. совпадение..
 
Золотые слова ! Но тогда о чём это скажет хелперу. Либо это отрицательный тест, то есть ответа быть не должно..
Например, с помощью этого видно подмену DNS, если пинг не прошёл то видно проблему (блокировку) с доступом к сайту и т.д.
Phoenix, давайте снова в студенты записывайтесь ;).
 
По моей просьбе добавили 23 таблетку в AVZ.

Zaitsev Oleg написал(а):
Добавил пилюлю №23. Она делает резервную копию политик Google, после чего уничтожает их из реестра в HKLM и HKCU (базы уже вышли, после обновления данная пилюля появится в списке доступных)
 
Добавлю, что в 2015-03-01 12:25 был обновлён полиморфный AVZ
1. В описании процессов и DLL ссылки удалены, сведения по файлу вынесены в столбец с описанием файла (для DLL это ранее был столбец с MD5)
2. В всех остальных секциях ссылки удалены, а то, что выводилось в них, выводится более мелким шрифтом под именем файла
3. Важные моменты в данных по файлу (создан с пределах последних 2 недель, атрибуты "скрытый" и "системный") выделяются цветом и жирностью, чтобы сразу бросалось в глаза
4. Добавлены сведения по файлам в планировщике заданий (ранее их не было)
5. Добавлен нормальный парсинг имен файлов и фильтрация по базе чистых в менеджере протоколов (ранее почему-то он там не был подключен)
 
Похоже новая фишка полиморфной версии AVZ выделение красным цветом даты недавно созданных и именных файлов.

65b7778bcd02d78c5460a9ff4bb2f6ba.png
 
regist написал(а):
универсальную команду, чтобы можно было архивировать с произвольным паролем.
Хорошо, это не сложно - можно пробовать на полиморфе, он обновлен. В скрипт в любое место до начала создания архива с карантином вставить:
SetupAVZ('QrPWD=infected');
Например:
Код:
begin
// Очистка карантина
ClearQuarantine;
// Автокарантин
ExecuteAutoQuarantine;
// Создание архива с файлами, помещенными в карантин
SetupAVZ('QrPWD=infected');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
За счет использования SetupAVZ получается полная совместимость скриптов с старыми версиями AVZ (они попросту проигнорируют данную настройку). Системы Кибера кстати принимают архивы с паролем infected наравне с паролем virus
источник.
 
полиморф обновлен. Команды:
function ZIP_ExtractArchive(AArchiveFile, ADestDir, AMask : string; APWD : string = ''); - извлекает их архива с именем AArchiveFile файлы, соответствующие маске AMask в каталог ADestDir. Структура каталогов в архиве и ADestDir будут идентичны. Если архив с паролем, то необходимо задать необязательный 4-й параметр APWD и указать в нем пароль (если это не сделать, то защищенные паролем файлы не извлекутся или извлекутся с нулевым размером). Пример:
Код:
begin
ZIP_ExtractArchive('d:\test.zip', 'e:\распаковка ZIP', '*.*');
end.
Создание архива ведется функцией function ZIP_CreateArchive(AArchiveFile : string; AFileList : TStrings; APWD : string = ''), где
AArchiveFile - полное имя создаваемого архива
AFileList - список добавляемых файлов
APWD - необязательный параметр, пароль архива (если не задан - то создается архив без пароля).

Список файлов содержит или полные имена файлов (они добавляются в корень архива), или <полное имя файла на диске>;<имя файла в архиве> - в этом случае можно добавлять файлы в различные каталоги в архиве и не обязательно под именами как на диске. Пример:
Код:
var
FileList : TStrings;
begin
FileList := TStringList.Create;
FileList.Add('d:\msdia80.dll');
FileList.Add('d:\msdia80.dll;test.dll');
FileList.Add('d:\avz_sysinfo.htm;LOG\avz_sysinfo.htm');
FileList.Add('d:\avz_sysinfo.xml;LOG\avz_sysinfo.xml');
ZIP_CreateArchive('d:\test.zip', FileList, 'infected');
end.
 
В полиморфе добавлена функция IsAdmin для проверки запущен для AVZ с правами администратора
IsAdmin:boolean, пример вызова:
Код:
begin
if IsAdmin then
  AddToLog('У пользователя есть права администратора')
else
  AddToLog('У пользователя НЕТ прав администратора');
end.
Следует только понимать, что эта функция вернет True при условии, что пользователь входит в группу "Администраторы" данного ПК, но при этом права могут быть подрезаны UAC, блокированы чем-то и т.п. - функция это не может учесть
 
Работу 2 таблетки поправили немного.

Zaitsev Oleg написал(а):
Визарды давно поддерживают x64 системы, а процедура №2 осталась прежней ... переделал данную процедуру, базы обновлены, теперь все будет работать корректно (теперь "таблетка" №2 делает 4 файла бекапа - состояния веток x32 и x64) .
 
Здраствуйте. У меня возник вопрос.
Чем отличаются описания?
Функция создает архив с файлами, помещенными сегодня в папку карантина (т.е. берутся все файлы из папки Infected, соответствующей текущей дате).
и
Функция создает архив с файлами, помещенными сегодня в Infected (т.е. берутся все файлы из папки карантина, соответствующей текущей дате).

у меня шарики за ролики заехали в понимании ключевых особенностей различия в этих различных функций.
Разжуйте пожалуйста, я зубы поломал пока грыз этот гранит науки
 
Да уж запутал Олег пользователей. :Biggrin:
Карантин и папка Infected
В утилите AVZ предусмотрено две папки для хранения копий удаляемых вредоносных файлов (папка Infected - карантин для инфицированных файлов) и подозрительных файлов (папка "карантин"), найденных эвристическим анализатором или помещенных в карантин пользователем вручную.
Работа с карантином и папкой Infected абсолютно идентична и производится в специальном окне, вызываемом из меню "Файл". Для работы с карантином необходимо воспользоваться меню "Просмотр карантина", для работы с папкой Infected - "Файл/ Просмотр папки Infected".
...и далее http://z-oleg.com/secur/avz_doc/index.html?t_infected.htm
 
04.09.2015 Вышла новая версия антивирусной утилиты AVZ - 4.45. Архив с утилитой содержит базы от 4.02.2014 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 394 микропрограммы эвристики, 9 микропрограмм ИПУ, 339 микропрограммы поиска и устранения проблем, 759074 подписей безопасных файлов. Новая версия содержит ряд доработок и усовершенствований.

Основные модификации:

[++] Расширена диагностика сети
[++] В HTML протоколе удалено форматирование имен файлов в виде ссылок, отображаемые ранее в всплывающем хинте сведения о файле статически помещены в отчете. Изменение сделано для всех визардов
[++] Модернизированы визарды чистки системы, поиска и устранения проблем (добавлены новые операции, устранен ряд ошибок)
[++] Скрипт-язык - поддержка работы с архивами из скриптов, функции ZIP_CreateArchive и ZIP_ExtractArchive
[++] Скрипт-язык - поддержка проверки прав пользователя, функции IsAdmin и IsElevated
[++] Скрипт-язык: финкция GetLastExitCode для определения кода возврата запущенного процесса
[++] Скрипт-язык: функция GetComputerDomain для определения домена ПК, GetHostByName и Ping для диагностики сети
[++] Скрипт-язык: процедуры AddQuarantineFilter и ClearQuarantineFilter для фильтрации помещаемых в карантин файлов
[++] Скрипт-язык: функция GetAVZDBDate для получения даты и времени сборки базы AVZ в целом, или ее отдельных компонент
[++] Доработан парсер имен файлов
[+] Добавлена процедура чистки 23 - удаление политик Google, создаваемых в реестре вредоносными программами
[+] Добавлены сведения по файлам в планировщике заданий
[+] Добавлен параметр QrPWD, позволяющий задать нестандартный пароль, используемый при архивации карантина
[+] При выявлении синтаксической ошибке в скрипте курсор перемещается на место ошибки
[--] Исправлена ошибка, приводящая в ряде случаев к неправильной работы переменной %allusersprofile% в скрипте
[--] Устранен сбой формирования протокола исследования системы при анализе файла с поврежденной структурой VersionInfo
[--] Исправлен ряд ошибок в работе визардов поиска и устранения проблем
[--] Исправлена ошибка работы функции удаления ключей реестра (не учитывалось состояния редиректора)
[--] Исправлена ошибка с обнаружением предположительно скрытых процессов на серверных и x64 системах
[--] Исправлена ошибка, приводящая к обнаружению предположительно скрытых процессов
[-] Исправлена ошибка с экранированием кавычек в XML логе (в некоторых случаях экранировались не все двойные кавычки)
[-] Исправлена ошибка в менеджере протоколов - не работал парсер имен файлов
 
у меня шарики за ролики заехали в понимании ключевых особенностей различия в этих различных функций.
Разжуйте пожалуйста, я зубы поломал пока грыз этот гранит науки
kmscom, на самом деле всё довольно просто :). В справке написано с ошибкой , Олегу Зайцеву я давно об этом писал. При релизе новой версии он поправил документацию, но опять немного напутал - в справке по прежнему написано с ошибкой. Как должно быть читайте в моём посте по ссылке.
 
Назад
Сверху Снизу