Антивирусная утилита AVZ

Sergei

Активный пользователь
Сообщения
382
Реакции
216
Баллы
483
  • Первое сообщение
  • #1
Антивирусная утилита AVZ предназначена для обнаружения и удаления:

  • SpyWare и AdWare модулей - это основное назначение утилиты
  • Dialer (Trojan.Dialer)
  • Троянских программ
  • BackDoor модулей
  • Сетевых и почтовых червей
  • TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.

Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:
  • Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
  • Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
  • Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
  • Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
  • Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
  • Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
  • Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
  • Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
  • Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
  • Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
  • Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
  • Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
  • Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
  • Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
  • Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
  • Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
  • Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
  • Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
  • Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
  • Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
  • Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
  • Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
Источник

Актуальные ссылки:
Справка:

http://z-oleg.com/secur/avz_doc/

AVZ 4:
https://z-oleg.com/avz4.zip
Архив с базами (обновляется ежедневно)

AVZ 5:
Архив с базами (обновляется ежедневно)
Полиморфная версия, для сложных случаев (обновляется с запозданием)
Полноценная версия с обновляемыми базами


AutoLogger [regist & Drongo] - в составе находится актуальная версия AVZ.
 
Последнее редактирование модератором:

Analyzer

Ассоциация VN
Сообщения
107
Реакции
76
Баллы
433
1. Нейтрализация перехватов.
2. Сбор информации.
3. Сбор информации и Нейтрализация перехватов.
4. Для сбора не известных файлов для отправки их на анализ чистые в базу безопасных не чистые ясно куда.
5 и 6 и так ясны :)
 
M

MotherBoard

А бывают ли случаи,когда полиморфная AVZ не всегда помогает?
 
Последнее редактирование модератором:

Денис

Активный пользователь
Сообщения
76
Реакции
91
Баллы
423
Заметил в темах лечения применение микропрограммы лечения №20, хотя ранее было известно только 19. Поискав информацию по этому поводу нашел следующее:
Зайцев Олег написал(а):
В AVZ появилась новая фича - восстановление системы может вычищать статические маршруты (делая их бекап на всякий случай), а встроенное в AVZ средство резервного копирования - создавать резервную копию статических настроек. Необходимо это на случай, если зловред создает посторонние статические маршруты для блокировки антивирусных сайтов. Применять это следует по необходимости, скоро появится визард, который будет удалять явно зловредные маршруты в автоматическом режиме. Функционал появится в AVZ после обновления баз ...
Информация из темы бета-тестирования AVZ 4.32.

Верно, это и есть микропрограмма №20? :)
 

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Вышла новая версия антивирусной утилиты AVZ - 4.35

Основные модификации:

[+++] Поддержка x64 в всех визардах (обработка x32 и x64 ключей реестра, это основная доработка
[++] Адаптивное отключение бекапа AVZ (что актуально для визарда удаления приватных данных)
[+/-] Изменен алгоритм обработки профилей и параметров командной строки. Это устраняет проблему с тем, что профиль по умолчанию имел приоритет над параметрами командной строки и другими профилями
[+] Автоматический запрос перезагрузки в визарде поиска и устранения проблем (выводится при необходимости)
[+] Доработана команда RegKeyParamWrite скриптов - добавлена поддержка REG_MULTI_SZ
[+] Доработано восстановление настроек проводника
[--] Исправлена проблема с форматирование даты и времени в протоколах (брались настройки форматирования из системы, где они могут быть непредсказуемыми или поврежденными)

http://z-oleg.com/avz4.zip
 

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Выпущена новая версия AVZ (4.37)

Сегодня была опубликована AVZ 4.37

Что нового:
--- 17.10.2011 --- ver 4.37
[++] Локализация справки на английский (выбирается автоматически в английской локализации)
[++] Справка переведена в формат CHM (совместимость с Vista, Win7, W2K8)
[++] Новый фунционал - эвристический поиск малварей по метаданным, базы эвристики постоянно обновляются (в настоящее время 2 раза в сутки)
[++] Протокол исследования - новые интерактивные элементы (в частности: удаление задания), фильтр незначащих пустых строк в Hosts, новые элементы в XML протоколе (в частности - вывод VendorName и ProductName каждого файла)
[+] Поддержка SHA1 хешей. В XML протоколе вычисление SHA1 по умолчанию выключено, включается параметром SHA1=Y|N из скрипта или командной строки. В скриптах добавлена функция CaklFileSHA1
[+] Поддержка верификации цифровой подписи и вывода данных о подписях файлов в XML по умолчанию выключено, включается параметром SignCheck=Y|N из скрипта или командной строки
[+] Расширена поддержка Windows 7 и Windows 7 SP1, улучшена работа на x64 (тип процесса в диспетчере процессов, карантин x32 и x64 файлов, доработки визардов для Win7)
[-] Исправлена ошибка поиска маскировки процессов (несуществующие маскирующиеся процессы в Vista/Win7/W2K3)

Добавлено через 4 минуты 20 секунд
Ссылки на скачивание:
http://z-oleg.com/avz4.zip или наше зеркало
 

orderman

Ветеран
Сообщения
1,205
Реакции
1,340
Баллы
653
Класс. Будем использовать
 

Hotab

Активный пользователь
Сообщения
1,163
Реакции
283
Баллы
473
Нормик)))
 

Soras

Активный пользователь
Сообщения
111
Реакции
30
Баллы
418
Новая версия AVZ 4.37

Не так давно вышла новая версия AVZ 4.37


В программе появились следующие обновления и исправления:

[++] Локализация справки на английский (выбирается автоматически в английской локализации)
[++] Справка переведена в формат CHM (совместимость с Vista, Win7, W2K8)
[++] Новый фунционал - эвристический поиск малварей по метаданным, базы эвристики постоянно обновляются (в настоящее время 2 раза в сутки)
[++] Протокол исследования - новые интерактивные элементы (в частности: удаление задания), фильтр незначащих пустых строк в Hosts, новые элементы в XML протоколе (в частности - вывод VendorName и ProductName каждого файла)
[+] Поддержка SHA1 хешей. В XML протоколе вычисление SHA1 по умолчанию выключено, включается параметром SHA1=Y|N из скрипта или командной строки. В скриптах добавлена функция CaklFileSHA1
[+] Поддержка верификации цифровой подписи и вывода данных о подписях файлов в XML по умолчанию выключено, включается параметром SignCheck=Y|N из скрипта или командной строки
[+] Расширена поддержка Windows 7 и Windows 7 SP1, улучшена работа на x64 (тип процесса в диспетчере процессов, карантин x32 и x64 файлов, доработки визардов для Win7)
[-] Исправлена ошибка поиска маскировки процессов (несуществующие маскирующиеся процессы в Vista/Win7/W2K3)


Скачать


Примечание:
[+] - Добавлено или радикально изменено ([++] - существенное изменение)
[-] - Исправлена ошибка
 
Последнее редактирование:

грум

Команда форума
Администратор
Сообщения
3,616
Реакции
1,868
Баллы
593
А почему в правилах оформления запроса о помощи закачивается версия AVZ 4.35.
Может исправить ссылку.
 

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Это вопрос нужно переадресовать ЛК... почему они не обновили зеркало. Сейчас обновлю ссылку.
 

Rins

Активный пользователь
Сообщения
364
Реакции
40
Баллы
408
  • Баг репорт:
    1. Windows 8 Consumer Preview Build 8250 x32 2Gb RAM
    2. Антивирусная утилита AVZ Версия: 4.37 Стандартный скрипт №4
    3. Выпадение в "смайл" :( (синий экран).
Это преодолимо или беты не рассматриваются?
 

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Я вообще не уверен, что AVZ хоть как-то поддерживает win 8
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,497
Реакции
5,670
Баллы
753
Об этом на дефендиуме где-то писали что при запуске AVZ восьмерка вылетает
 

Rins

Активный пользователь
Сообщения
364
Реакции
40
Баллы
408
при запуске AVZ восьмерка вылетает
Запускается, обновляется.
Запуск скриптов вызывает ошибку.
В логах мелькает об отказе в доступе к netapi32
The system has rebooted without cleanly shutting down first. This error could be caused if the system stopped responding, crashed, or lost power unexpectedly.
Имхо ничего фатального. Но требует допиливания.
 
Сверху Снизу