Антивирусная утилита AVZ

Sergei

Активный пользователь
Сообщения
382
Реакции
216
Баллы
483
  • Первое сообщение
  • #1
Антивирусная утилита AVZ предназначена для обнаружения и удаления:

  • SpyWare и AdWare модулей - это основное назначение утилиты
  • Dialer (Trojan.Dialer)
  • Троянских программ
  • BackDoor модулей
  • Сетевых и почтовых червей
  • TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.

Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:
  • Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
  • Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
  • Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
  • Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
  • Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
  • Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
  • Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
  • Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
  • Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
  • Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
  • Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
  • Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
  • Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
  • Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
  • Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
  • Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
  • Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
  • Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
  • Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
  • Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
  • Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
  • Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
Источник

Актуальные ссылки:
Справка:

http://z-oleg.com/secur/avz_doc/

AVZ 4:
https://z-oleg.com/avz4.zip
Архив с базами (обновляется ежедневно)

AVZ 5:
Архив с базами (обновляется ежедневно)
Полиморфная версия, для сложных случаев (обновляется с запозданием)
Полноценная версия с обновляемыми базами


AutoLogger [regist & Drongo] - в составе находится актуальная версия AVZ.
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Информация
Часть постов перенес в лечение
 

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Вышла новая версия антивирусной утилиты AVZ - 4.39. Архив с утилитой содержит базу вирусов от 20.05.2012 - 297616 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 399 микропрограмм эвристики, 9 микропрограмм ИПУ, 234 микропрограммы поиска и устранения проблем, 410088 подписей безопасных файлов. Новая версия содержит ряд доработок и усовершенствований.

Основные модификации:

[++] Множество доработок в визардах и скриптах эвристики
[++] Поиск и восстановление повреждений настройки SafeBoot
[+] Поиск и нейтрализация перехватов UserMode, осуществленных не в начале машинного кода функции
[+] База чистых - вызовы типа "cmd.exe /c xxxx" более не считаются легитимными - по базе чистых проверяется то, что запускается через CMD, а не сам файл "cmd.exe"
[+] Блокировка "зацикливания" при сканировании ссылок в файловой системе Win7/Vista
[+] Скрипты, функция RegSearch - добавлен поиск по значениям параметра REG_MULTI_SZ
[+] Детектирование "вредоносного кода в реестре" - обнаружение ключей автозапуска, содержащих запуск последовательности команд интерпретатора командной строки (по сути хранимый в реестре аналог BAT файла) с оценкой потенциальной опасности
[+] Эвристика на исполняемые файлы в папке автозапуска (предупреждение в протоколе, автокарантин), не опознанные по базе чистых
[+/-] Скрипты, функция BackupRegKey,ExpRegKey, ExpRegKeyEx - добавлена поддержка параметров типа REG_QWORD, исправлено сохранение REG_MULTY_SZ
[-] Скрипты, TFileSearch - исправлена ошибка вывода даты найденных файлов
[+] Скрипты, TFileSearch - добавлена возможность получения даты последней модификации и последнего доступа
[-] Исправлена команда "Безопасность: IE - запретить запуск программ и файлов в IFRAME без запроса", вставляемая по одноименной ссылке в протоколе
[+/-] Исправлена и доработана операция 15 в восстановлении системы
[+/-] Доработан анализ ключей автозапуска в исследовании системы и менеджере автозапуска (открытие ключей в режиме "только чтение")
[-] Порты TCP/UDP - исправлена ошибка, которая периодически появлялась на Win7/Win8 (в случае ошибки список портов был пустой)
[-] Исправлено множество опечаток в русскоязычной документации
[-] Исправлена проблема с ошибкой чтения значений параметров ключа реестра, доступных только на чтение

http://z-oleg.com/avz4.zip
 

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Внимание! Был переименован файл автокарантина virusinfo_cure.zip. Теперь он носит имя virusinfo_autoquarantine.zip..

Собственно ура товарищи. Теперь наконец перестанут пользователи путать автокарантин с логом virusinfo_syscure.zip
 

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Вышла новая версия антивирусной утилиты AVZ - 4.41. Архив с утилитой содержит базу вирусов от 12.07.2013 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 403 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 565706 подписей безопасных файлов. Новая версия содержит ряд доработок и усовершенствований.

Основные модификации:


[++] Менеджер планировщика заданий - поддержка планировщика v2 (Vista, Win7, Win8)
[++] Новый парсер сложной командной строки, выделяющий требующие внимания исполняемые файлы
[++] Новый набор команд скрипт-языка для выполнения произвольных WMI запросов
[++] Подключена возможность просмотра данных о файле в системе Kaspersky Application Advisor
[++] В исследовании системы введена поддержка дополнительных проверок, хранящихся в обновляемой БД
[++] В скрипт-языке новые функции AddFileInfoToXML, AddDataToXML, WMI_Init, WMI_Query, WMI_Fetch, WMI_GetField, WMI_Free, SleepMS, GetComputerIP, ClearXMLData
[+] Изменена логика работы команды удаления файла - появился второй параметр, указывающий, в каком режиме редиректора следует выполнить удаление
[+] Вывод в протокол исследования системы данных о расшаренных ресурсах (опционально, по умолчанию выключено)
[+] Вывод в XML протокол данных о всех запущенных процессах, без фильтрации (опционально, по умолчанию выключено)
[+] В мастере поиска и устранения проблем добавлено всплывающее меню, позволяющее выбрать все пукты, снять и инвертировать выделение
[+] Добавлен режим шифрования файлов в карантине для исключения их удаления антивирусом
[+/-] В скриптязыке изменена логика работы ExecuteScript - скриптам любого уровня разрешено изменять настройки AVZ
[-] Исправлена проблема с тем, что в описание файла в карантине не попадали сведения о его атрибутах

Скачать
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
803
Когда вот только реализуют простую опцию "Выделить всё".

 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
SNS-amigo, это давно реализовано
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
803
regist,
Вот блин, а я вручную шпарю!!! :D:D:D

Спасибо огромное!!!
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
На всякий случай напомню, чтобы не забывали просить пользователя обновить базы AVZ. С обновлением баз исправлена ошибка парсера путей к файлам на 7-ке.
пруф.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
803
Уж не знаю баг или не баг. Но не раз замечал как на Win7 x64 Авезешка не фиксит стартовую страницу IE любых работающих там версий. Не помогает ни фиксинг, ни программный сброс, ничто другое. Если уж apeha.ru может так внедриться, то что уж говорить про других. AdwCleaner также оказывается бессилен.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
Уж не знаю баг или не баг. Но не раз замечал как на Win7 x64
скорее всего проблема с редиректором. У AVZ вообще много проблем на x64 в том числе с удалением и карантином файлов. Для удаление файлов и приделали этот костыль (имхо это иначе не назовёшь) с добавлением к команде префикса x32, x64. Ладно с удалением этот костыль поможет, а что делать с остальным ? В том числе и с карантином файлов ?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
Но не раз замечал как на Win7 x64 Авезешка не фиксит стартовую страницу IE любых работающих там версий.
SNS-amigo, проверил на Windows 7 x64 на IE обоих разрядностей, баг воспроизвести не удалось. Правда домашняя страница перед этим была изменена не тулбаром, а вручную мной.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
803
правда домашняя страница перед этим была изменена не тулбаром, а вручную мной.
Понятно, после меня тоже все легко восстанавливается.
А потому, что мы с вами видимо невредные и точно не вредоносы. :)

Добавлено через 1 минуту 53 секунды
А встречается это не только на тех компьютерах клиентов и знакомых, где нет нормальной защиты, а даже на тех компьютерах, где эта защита есть, но качают и краки и моды и всякие гет-стили.

Добавлено через 2 минуты 13 секунд
regist, я упомянул внедрение от как бы белого сайта apeha.ru, а есть так же черные - webalta, ask, smaxi и пр. пр.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
regist, я упомянул внедрение от как бы белого сайта apeha.ru, а есть так же черные - webalta, ask, smaxi и пр. пр.
я это понимаю, но вы лучше меня знаете, что для исправления бага надо описать условия в которых баг воспроизводится, чтобы разработчик мог воспроизвести у себя и исправить.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
803
regist, Именно, потому-то это и не под силу разработчикам — стать там самым пользователем, чтобы воспроизвести у себя подобную ситуацию. Хоть фанатов и сторонников у AVZ и немало, но от 64-битности винды, действительно, больше багов, чем пользы. :mda:
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
regist, в авз по моему так и не исправили правильное определение на вин 7 состояния восстановление системы включено или нет
а где этот баг описан ? лично я про него и не знал.
P.S. на VI у тебя же есть регистрация, можешь написать в той теме ;).
 
Последнее редактирование:

glax24

Разработчик
Сообщения
2,001
Реакции
1,485
Баллы
638
я где то здесь описывал уже его, с телефона не удобно. если не трудно можешь проверить и отписаться зайцеву.

Добавлено через 7 минут 16 секунд
нашел в обучение авз новичкам пост#751

Добавлено через 4 минуты 39 секунд
http://safezone.cc/forum/showpost.php?p=128911&postcount=751
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,485
Баллы
638
завтра могу скинуть как я определяю в securitycheck, начиная с висты они убрали параметр. а сегодня у меня праздник.
 
Последнее редактирование:
Сверху Снизу