Антивирусная утилита AVZ

Sergei

Активный пользователь
Сообщения
382
Реакции
216
Баллы
483
  • Первое сообщение
  • #1
Антивирусная утилита AVZ предназначена для обнаружения и удаления:

  • SpyWare и AdWare модулей - это основное назначение утилиты
  • Dialer (Trojan.Dialer)
  • Троянских программ
  • BackDoor модулей
  • Сетевых и почтовых червей
  • TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.

Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:
  • Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
  • Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
  • Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
  • Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
  • Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
  • Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
  • Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
  • Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
  • Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
  • Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
  • Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
  • Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
  • Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
  • Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
  • Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
  • Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
  • Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
  • Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
  • Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
  • Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
  • Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
  • Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
Источник

Актуальные ссылки:
Справка:

http://z-oleg.com/secur/avz_doc/

AVZ 4:
https://z-oleg.com/avz4.zip
Архив с базами (обновляется ежедневно)

AVZ 5:
Архив с базами (обновляется ежедневно)
Полиморфная версия, для сложных случаев (обновляется с запозданием)
Полноценная версия с обновляемыми базами


AutoLogger [regist & Drongo] - в составе находится актуальная версия AVZ.
 
Последнее редактирование модератором:

glax24

Разработчик
Сообщения
2,001
Реакции
1,485
Баллы
638




 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Вышла новая версия антивирусной утилиты AVZ - 4.43. Архив с утилитой содержит базу вирусов от 23.12.2014 - 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 405 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 649446 подписей безопасных файлов.

Основные модификации:
[++] Новый функционал - диагностика сети для выявления проблем, создаваемых вредоносными программами (диагностические операции находятся в обновляемой БД)
[++] Добавлена эвристика для обнаружения вредоносных заданий планировщика
[++] Редактор скриптов - подсветка синтаксиса, всплывающее меню редактора и поддержка типовых горячих клавиш
[++] Фильтр в менеджере автозапуска (отображение всех или только неопознанных по БД чистых)
[++] Окно редактирования и выполнения скрипта : добавлена подсветка синтаксиса, выделение цветом специфических команд скрипт-языка AVZ, отображение строки и столбца курсора, поддерживаются стандартные клавиатурные сочетания типа Ctrl+A)
[+] Вывод MD5 по процессам в HTML отчет
[+] Вывод полного названия версии ОС в протокол и XML
[+] Доработана стратегия карантина (повышение качества карантина на x64, улучшен парсер)
[+] В просмотре карантина добавлено отображения сведений по выделенным файлам (количество и суммарный размер)
[+/-] Работа параметра spoollog изменена (если не указан полный путь, то он отсчитывается от каталога AVZ)
[+/-] В XML версия файлов выведена в формате x.x.x.x
[+/-] В описании задания планировщика в XML выведены все поля (ранее часть была доступна только в HTML логе, новые поля JobName, Status и FullCmd)
[+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов
[-] Исправлена ошибка парсера имени файла в автозапуске и диспетчере процессов (было доступно в 4.41 через обновление баз)
[-] XML: Исправлена ошибка с дублирование имени параметра в XML, из за чего лог не проходил верификацию парсеров XML
[-] XML: Исправлена ошибка с отсутствием пробелов между параметрами в XML, из за чего лог не проходил верификацию парсеров XML
[-] Исправлена ошибка с локализацией MessageDlg (в английской локализации были русские надписи на кнопках)

Страница загрузки на обычном месте: http://www.z-oleg.com/secur/avz/download.php
 

mike 1

Ветеран
Сообщения
2,428
Реакции
933
Баллы
533
В AVZ появился новый девятый стандартный скрипт.

Zaitsev Oleg написал(а):
Поясняю - скрипт этот в обычной жизни не нужен, и ничем не отличается от скрипта 7, кроме одной особенности - собираемые логи не фильтруются по БД чистых. Сделано это по запросу экспертов техподдержки ЛК, для решения следующих задач:
1. может оказаться, что AVZ считает злобный код чистым (примеры известны - всякие хитрые вариации использования системных утилит, которые запускаются с некими хитрыми параметрами, запуск браузеров с хитрой командной строкой ...).
2. решение проблем, вызванным легитимным ПО. Т.е. нечто легитимное конфликтует с антивирусом, но мы не видим его в логе, так как оно легитимное и игнорируется.
3. поиск и уничтожение условно-безопасного ПО. Например, пользователю досаждает некий тулбар, который в общем-то легитимен и самим пользователем и установлен (как правило "прицепом" с некоей программой ввиду невнимательности в плане снятия неприметных "птичек"). Такой тулбар не вирус и не малварь, детектировать его нельзя, но проблему решать нужно.

Лог получается внушительный по размеру, но зато отражает всю полноту данных о системе
 

Sergei

Активный пользователь
Сообщения
382
Реакции
216
Баллы
483
авот ето вот что такое?
Ошибка - не найден файл (C:\SystemRoot\system32\xNtKrnl.exe)]],
Ошибка загрузки драйвера - проверка прервана [C000036B]
При выполнении стандартных скриптов 1 или 3
ав отключено
 
Последнее редактирование:

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,839
Баллы
583
авот ето вот что такое?
Код:
 Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
Во первых не оригинальное ядро, во вторых система х64. (Ошибка AVZ Guard: C000036B - драйвера не устанавливаются на перехват)
CMD/BATCH:
begin
if IsWOW64 then
AddToLog('WOW64 = true')
else
AddToLog('WOW64 = false');
end.
 
Последнее редактирование:

mike 1

Ветеран
Сообщения
2,428
Реакции
933
Баллы
533
Sergei, из справки AVZ:

Антивирусная утилита AVZ не выдвигает особых системных требований - ее работоспособность проверена на сотнях компьютеров с операционной системой W9x, Windows NT, 2000 Professional и Server, XP Home Edition и XP Professional (SP1, SP2, SP3), Windows 2003 (SP1), Windows Vista (SP1, SP2), Windows 7. Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7.
 

Sergei

Активный пользователь
Сообщения
382
Реакции
216
Баллы
483
Vot. Teper ja spokojen. Vsem spasibo :)
 

Охотник

Активный пользователь
Сообщения
274
Реакции
311
Баллы
293
Как то он забросил свой авз. Ничего нового не появляется.
 

akok

Команда форума
Администратор
Сообщения
19,958
Реакции
13,641
Баллы
2,203
Базы обновляются, в остальном да.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
Разработчик отвечает на вопросы, но правда на других форумах.
но по большей части он игнорирует. Последние несколько месяцев все вопросы (кроме одного) которые ему задавались остались без внимания. Также как и сообщения о багах.
 

mike 1

Ветеран
Сообщения
2,428
Реакции
933
Баллы
533
Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов. :Sad:

 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов. :Sad:

только небольшая поправка, этот скрипт ярлыки браузеров не меняет, а всего лишь принудительно загружает в браузеры расширение Site Navigation 1.0 или аналогичное.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
753
mike 1, а ты Зайцеву уже отписался?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
shestale, ему отписался намного раньше чем здесь. И уже и на форуме ЛК продублировал.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов.
Раз и здесь об этом написали, то продублирую сюда ответ Олега, чтобы не пугать пользователей
Zaitsev Oleg написал(а):
Какой же вредоносный ?! См. лог - Size="0"
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,069
Реакции
6,240
Баллы
1,008
добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из
Код:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies
 
Сверху Снизу