Антивирусная утилита

 

Антивирусная утилита — программа для сканирования компьютера на наличие различных заражений: вирусов, троянов, кейлоггеров, руткитов и т. п. От полноценного антивируса отличается отсутствием автоматической скрытой проверки запускаемых приложений и процессов.

AVZ 4.41

Похожая программа: Антивирусный сканер Kaspersky Virus Removal Tool

Набор антивирусных утилит, позволяющий не только обнаружить наличие на компьютере, троянов и прочей "нечисти", но так же корректно избавиться от них и восстановить работоспособность системы, если она уже оказалась нарушенной.

Сегодня существует много различных антивирусов от самых разных известных и не очень производителей. Все они усердно, без отдыха и выходных, защищают наши компьютеры от различных вредных и заразных проникновений, спасая нашу информацию, сберегая наши кошельки и обеспечивая спокойную работу.

Только вот что интересно. С увеличением числа вирусов и усложнением их алгоритмов, информации о них становится все меньше. Производители антивирусов все меньше уделяют внимание описанию новых вирусов, методик их обезвреживания и рекомендаций по защите. Может это и хорошо, но не всех устраивает простое наблюдение за тем, как в трее что-то работает и обновляется.

Учитывая, что на сегодня есть около 100 способов проникновения на компьютер с установленным Windows (так называемые «дыры»), а обновления (заплатки для таких «дыр») мало кто выполняет, стоит задуматься, так ли все безоблачно, как кажется.

Проверить, надежно ли защищен ваш компьютер от проникновений можно. Но вряд ли тут помогут обычные антивирусы.

Назначение антивирусной утилиты AVZ

Очень большую помощь в этом нелегком деле может оказать антивирусная утилита AVZ (антивирус Зайцева). По сути это не совсем антивирус. Скорее это набор утилит. позволяющий не только обнаружить наличие на компьютере, троянов и прочей «нечисти», но так же корректно избавиться от них и восстановить работоспособность системы, если она уже оказалась нарушенной.

z-oleg. com. Это полноценный сайт по безопасности. Там же можно найти доступное и очень подробное описание различного вредоносного ПО.

Антивирусная утилита не защищает компьютер в реальном времени, поскольку в ней нет резидентного мониторинга. Но она и не создана для этого. Главное назначение AVZ — анализ системы на предмет защищенности, на наличие вредоносного ПО, на лечение и восстановление системы. Кроме того, программа не требует инсталляции, не портит реестр, не выполняет никаких серьезных действий без ведома пользователя. Все предельно прозрачно и наглядно.

Начало работы с утилитой

Сначала о наиболее востребованных функциях :

Первым делом можно просто выделить нужные диски и нажать кнопку пуск. Утилита проверит компьютер на известные вирусы и в конце выдаст советы по безопасности. Лог значительно более информативен, чем у других антивирусов.

После проверки достаточно нажать пиктограмму очков возле лога и удалить вирусы и всё подозрительное (в данном случае удаляются подозрительные файлы и ссылки на них в системе). Можно менять уровень эвристики и другие параметры во вкладке «Параметры поиска ».

Некоторые параметры стоит пояснить:

"Проверять запущенные процессы " позволяет включить проверку всех запущенных процессов и загруженных библиотек перед началом проверки. Этот переключатель включен по умолчанию, и отключать его не рекомендуется. Если разрешено лечение, то при обнаружении процесса вредоносного кода, утилита AVZ принудительно завершает процесс перед удалением файла.

"Эвристическая проверка системы " включает дополнительную эвристическую проверку. Особенность этой проверки состоит в анализе запущенных процессов, реестра и диска для поиска неизвестных утилите AVZ разновидностей вредоносных программ по их характерным признакам.

Если этот режим включен и AVZ обнаружит подозрительные объекты, то он сообщит об этом в протоколе. Включение эвристической проверки увеличивает общее время сканирования системы. Основой эвристической проверки являются так называемые микропрограммы эвристики, которые хранятся в базах данных и постоянно обновляются.

"Поиск потенциальных уязвимостей " включает подсистему, которая ищет потенциальные проблемы в области безопасности. Следует понимать, что выдаваемые данной системой сообщения носят рекомендательный характер из раздела "На это стоит обратить внимание".

Если после выполнения поиска потенциальных уязвимостей выполнить исследование системы, то в средство формирования скрипта протокола исследования системы будут добавлены пункты для создания скрипта устраняющего найденные проблемы (при условии, что их можно исправить скриптом).

Настройка области поиска

Типы файлов

Закладка «Типы файлов » позволяет выбрать типы файлов, проверяемые AVZ.

По умолчанию выбран пункт "Потенциально опасные файлы " — в этом случае AVZ проверяет только файлы с определенными расширениями (EXE, DLL, OCX, SYS, CAB, INF …) — т. е. исполняемые или те, которые могут содержать данные для установки вредоносных программ или опасные скрипты.

На заметку. Если на закладке "Область поиска" включен переключатель "Проверять запущенные процессы", то запущенные программы и загруженные библиотеки проверяются в любом случае, независимо от их расширения и настроек вкладки "Типы файлов".

"Включая файлы по маске " и "Исключая файлы по маске ". Исключение имеет приоритет над включением — например, при указании включения в сканирование файлов *.vir и исключения *.vir приоритетно исключение. Более того, исключение по более общей маске доминирует над включением, например при включении trojan*.exe и исключении *.exe файл с именем trojan. exe будет исключен из проверки.

На заметку. Поля с маской могут включать несколько масок, разделенных запятой, пробелом или символом "; ". В маске могут присутствовать символы "? " (любой символ в позиции знака ?) и "* " (любые символы).

Пример :

*.* — все файлы;

*.exe — только с расширением exe;

dialer. exe — с конкретным именем "dialer. exe";

dialer. exe, *.dll, trojan*.sys — с именем dialer. exe или файлы с любым именем и расширением DLL или с именем Trojan-любые символы-.sys;

*.exe, *.dll, *.sys, *.ocx — с указанными расширениями

"Отчет о чистых объектах " позволяет включить в протокол список файлов, которые проверены AVZ и не являются вирусами или вредоносными программами.

"Проверять чистые объекты по базе безопасных " работает только при включенном переключателе "Отчет о чистых объектах". При его включении каждый файл, не являющийся (по мнению AVZ) вирусом или вредоносной программой проверяется по базе безопасных файлов, и результаты этой проверки заносятся в протокол. Эта операция замедляет сканирование и полезна для системных администраторов и вирусологов, проводящих сортировку файлов перед анализом.

"Проверять потоки NTFS " включает проверку потоков в NTFS файлах. Потоки не видны при просмотре диска при помощи файловых менеджеров и проводника, поэтому многие вредоносные программы маскируют свои исполняемые файлы, размещая их в потоке. AVZ может проверять потоки и удалять из них найденные вредоносные объекты. Переключатель включен по умолчанию и его отключение не рекомендуется

"Проверять архивы " управляет проверкой архивов. Переключатель включен по умолчанию. Под архивом понимаются так же CHM и MHT файлы, файлы электронной почты и прочие структуры, которые могут содержать внутри себя другие файлы.

"Не проверять архивы более xx Mб " активен, если включена проверка архивов. По умолчанию он включен и архивы размером более 10 мб не проверяются. Пороговый размер задается пользователем, но он не может быть менее 1 мб.

Параметры поиска

Закладка «Параметры поиска »

Группа "Эвристический анализ " содержит регулятор уровня срабатывания эвристики. AVZ поддерживает 4 уровня эвристического анализа :

  • Эвристический анализ отключен. В этом случае обнаруживаются только известные AVZ вредоносные объекты при полном совпадении проверяемого объекта с описанием в базе;
  • Минимальный уровень эвристики — в этом режиме AVZ выдает предупреждения при обнаружении объектов, очень похожих на вредоносные;
  • Средний уровень эвристики — аналогичен минимальному, но порог срабатывания ниже. Это рекомендуемый режим работы, в котором уровень ложных срабатываний обычно не превышает 10-15%;
  • Максимальный уровень эвристики — этот режим часто называют "параноидальным", так как предупреждения о подозрении на вирус выдаются даже при обнаружении отдаленного сходства проверяемого объекта с вредоносным. В этом режиме возможны многочисленные ложные срабатывания.

При установке максимального уровня эвристики становится доступным переключатель "Расширенный анализ ". Его включение задействует дополнительные проверки, которые позволяют обнаруживать подозрительные объекты по второстепенным признакам типа двойного расширения, наличия в имени большого количества пробелов перед расширением и т. п. Расшифровка основных сообщений эвристического анализатора приведена в разделе Эвристический анализатор AVZ;

Группа "RootKit " содержит настройки системы обнаружения и блокирования RootKit. Переключатель "Детектировать RootKit " позволяет включить детектор RootKit, который пытается обнаружить присутствие в системе RootKit по характерным для него признакам.

Следует отметить, что возможны своего рода ложные срабатывания — в качестве RootKit могут детектироваться системные утилиты, антивирусные мониторы, Firewall. Это нормальное явление, т. к. подобные программы и утилиты вмешиваются в работу других приложений и искажают работу стандартных API функций.

Переключатель "Блокировать RootKit " доступен только при включенном переключателе "Детектировать RootKit" и позволяет включить систему активного противодействия RootKit.

Следует отметить, что включение противодействия RootKit может привести к непредсказуемым последствиям и нужно быть готовым к зависанию программы AVZ и системы в целом. Поэтому перед активацией противодействия RootKit необходимо закрыть все программы, желательно отключится от сети, и затем выгрузить антивирусный монитор и Firewall.

При включении блокирования RootKit автоматически включается система эвристического поиска процессов и файлов RootKit. Принцип действия системы основан на анализе системы до и после блокировки перехватчиков, что позволяет обнаружить маскируемые процессы, сервисы и драйверы.

Внимание! Система AVZGuard и антируткит режима ядра являются взаимоисключающими. при включении AVZGuard нейтрализация руткитов в режима ядра отключается.

На заметку. В случае проверки системы с нейтрализацией Kernel RootKit необходимо перезагрузиться. Это связано с тем, что нейтрализация перехватчиков может нарушить работу антивирусных мониторов, компонент Firewall и прочих программ, отвечающих за безопасность. Перезагрузка актуальна только в случае восстановления перехваченных функций — в этом случае AVZ указывает на необходимость перезагрузки в конце протокола.

Группа "Winsock Service Provider " позволяет настроить работу системы проверки и настройки анализатора SPI (который более известен как LSP благодаря утилите LSP Fix ). Настройки SPI модифицируют многие современные вирусы и SpyWare, типовые проявлением повреждения настроек является появление сбоев при работе в Интернет.

Переключатель "Проверять настройки SPI / LSP " позволяет включить анализатор настроек — при этом проверка производится автоматически и все найденные проблемы и ошибки выводятся в протокол. Установка переключателя "Автоматически исправлять ошибки в SPI/LSP " позволяет включить систему автоматического исправления найденных ошибок — исправление ошибок производится в автоматическом режиме и не требует от пользователя понимания тонкостей работы SPI.

Начиная с версии 4.26 в случае обнаружения ошибок перед их автоматическим исправлением AVZ автоматически создает резервную копию настроек SPI в папке BackUp. Резервная копия является стандартным REG файлом и может быть импортирована в реестр при необходимости.

Для устранения ошибок в ручном режиме рекомендуется использовать Менеджер Winsock SPI (LSP, NSP, TSP).

Переключатель "Поиск клавиатурных шпионов (Keylogger) " позволяет включить детектор клавиатурных шпионов и троянских DLL (под троянской DLL понимается библиотека, внедряемая в адресное пространство запущенных процессов). Поиск ведется без применения механизма сигнатур, в результате чего результаты носят вероятностный характер.

Для оценки степени похожести обнаруженных библиотек на клавиатурный шпион (KeyLogger) применяется нейросеть. распознающая характерные особенности клавиатурного перехватчика. Кроме того, AVZ производит поведенческий анализ всех заподозренных библиотек и выводит собранную информацию в протокол.

На заметку. Анализатор AVZ и нейросеть в состоянии найти подозрительные библиотеки и оценить степень их похожести на типовые перехватчики событий оконных событий, событий клавиатуры и мыши (т. н. hook). Однако анализатор не может отличить вредоносный перехватчик (предназначенный для слежения за пользователем) и перехватчик, выполняющий полезные действия.

Переключатель "Поиск портов TCP/UDP троянских программ " включает автоматический анализ списка открытых портов TCP и UDP. В составе AVZ имеется специальная база. в которой описаны несколько сотен портов, применяемых распространенными троянскими программами, Backdoor и вирусами. При обнаружении открытых портов, описанных данной базе, в протокол выводится предупреждение с указанием номера порта и списка вредоносных программ, применяющих данный порт. Открытые порты TCP и UDP можно также просмотреть в окне "Открытые порты TCP/UDP "

Переключатель "Автоматически исправлять системные ошибки " включает режим автоматического устранения опасных системных ошибок. Поиск системных ошибок ведется в ходе сканирования системы, на шаге 9. По умолчанию данный переключатель отключен, поэтому поиск ошибок ведется, информация об ошибках записывается в протокол, но они не устраняются.

Мастер поиска и устранения проблем

Следует учитывать, что помимо автоматического устранения ошибок можно применять мастер поиска и устранения проблем. который позволяет вручную выбрать, какие конкретно из найденных проблем следует исправить. В ходе автоматического устранения системных ошибок ведется запись проделанных изменений, позволяющая откатить эти изменения в случае необходимости через «мастер поиска и устранения проблем».

В настройках «Мастера» можно указать категорию анализируемых проблем (системные, настройки браузера или приватность) и их степень опасности (наиболее опасные, средние или все подряд).

Еще раз об опции AVZGuard. При ее включении AVZ блокирует запуск всех программ, которые не входят в список доверенных, это может пригодиться при удалении некоторых особо непокорных вирусов, которые заново восстанавливают свои утраченные файлы. То есть включаешь функцию, удаляешь вирусы и, не выключая ее, перегружаешься.

Если ничего не найдено

Если ничего опасного не найдено. а проблемы явно остались, заходим в меню «Сервис\Менеджер автозапуска», внимательно просматриваем все ключи и помеченные черным исследуем с пристрастием — что, где, откуда.

Скорее всего вы найдете ехе или dll с непонятными названиями без описания. Для начала их нужно временно отключить. перегрузить компьютер и посмотреть в течение нескольких дней, как он себя поведет. Тут нужно полагаться на интуицию и логику, не всегда можно точно сказать — это драйвер какого-нибудь нового устройства или произведение хакеров.

Если все устройства и приложения работают, то можно удалить физически файлы подозрительной программы (со включенным AVZGuard), перезагрузиться, проверить, не появились ли они снова.

Кстати, есть еще одна вещь, которую можно сделать — это тотальное отключение автозапуска. В большинстве случаев он не нужен, зато вирусы — черви, распространяющиеся через флэшки, — ничего не смогут сделать. Для того чтобы это сделать, достаточно в реестре прописать один ключ. Вот Он: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] “NoDriveTypeAutoRun”=dword:000000ff

Неудобства небольшие, а спокойствия больше. Но отключение автозапуска не панацея. Вирусы вполне могут привязаться к запуску какого-нибудь приложения и после его запуска начинать свои поползновения, например — рассылать спам.

Если нет Интернета

Даже если у вас нет Интернета. от вредоносных программ вы все равно не застрахованы. Тут хорошую услугу окажет «Диспетчер процессов», тоже в меню «Сервис». Это усовершенствованный аналог диспетчера Windows. Там видно все — что за процесс работает в системе, его описание, к каким библиотекам обращается, проверен ли по контрольной сумме и каталогу безопасности Микрософт (зеленый, если проверен ).

Снова обращаем внимание на черные строчки. Если что не так, есть два варианта — снять дамп (как известно, есть продвинутые вирусы, которые существуют только в оперативной памяти и после перезагрузки исчезают, так что выявить их можно только дампом) или отправить в карантин, а затем в лабораторию. Особенно хорошо диспетчер работает с драйвером расширенного мониторинга процессов.

Для поиска подозрительных файлов есть еще инструмент «Ревизор », его полезно применять заранее. Делаем снимок контрольных сумм файлов чистой системы, а затем, в случае заражения, просто сравниваем чистый снимок с текущим состоянием. Это может помочь выявить как простой вирус, так и скрытый руткит с его файлами.

Облегчить нам работу могут несколько маленьких полезных инструментов, таких как «Поиск Cookie по данным », «Поиск данных на диске », «Поиск данных в реестре » (меню «Сервис »). Это очень удобно, не надо никуда лазить, более того, они обладают некоторыми опциями, которых нет в средствах Windows.

Но все-таки, что делать, если вирус успел навредить? Что ж, для подобных ситуаций есть такие инструменты AVZ, как «Резервное копирование » и «Восстановление настроек системы ». Они находятся в меню «Файл» и не связаны между собой.

«Резервное копирование » просто создает файл реестра, который в случае необходимости можно выполнить и возвратить настройки одного из компонентов системы. К сожалению, список компонентов маловат. Если его использование не помогло, но вы обладаете навыками программирования, то можно создать скрипт для удаления трояна с помощью редактора скриптов (скачивается отдельно). Этот редактор позволяет автоматизировать работу AVZ.

Есть, кстати, интересная возможность составить скрипт. Для этого нам нужно создать отчет в виде html с помощью утилиты «Исследование системы», в конце файла будет окошко, в которое записываются команды при нажатии кнопки «удалить» рядом с подозрительным файлом. Чем-то напоминает функцию «запись макроса» в MS Office.

Если же вы не обнаружили в вашем компьютере ничего подозрительного (что в наше время перестает быть нормой), лучше выполнить советы по безопасности, которые AVZ выдает после проверки — ну просто чтобы отшлифовать! И если у вас The Bat, скачайте и поставьте AVZ-плагин. Мелочь, а приятно.

И наконец, «Мастер поиска и устранения проблем », простая, но очень полезная утилита для анализа системы, выдает предложения по оптимизации. Тут же их можно отметить и выполнить. Есть, конечно, более совершенные утилиты такого плана, но все ли они бесплатны?

Еще раз хочу подчеркнуть, что удалять или отключать подозрительные программы можно, только когда полностью уверен в том, что делаешь. Например, часто AVZ ругается на легальные программы, будто те перехватили функции (может обругать ПО блютуза), так что нужно проверять, есть ли такая программа в установленных.

И еще, на сайте есть интересная утилита для имитации уязвимостей и мониторинга атак. запускаешь ее и оставляешь вести лог. Если она бьет тревогу за файрволом — значит, ваш файрвол никуда не годится. Правда, она давно не обновлялась.

Обновление антивирусных баз

В заключение напомню, что Обновление баз — чрезвычайно важно перед началом любой проверки. Выполнить его можно автоматически через Интернет средствами самой программы или вручную. В последнем случае следует знать структуру папок AVZ.

Структура папок :

AVZ\Base — Базы AVZ с описаниями вредоносных программ и методик их лечения. Загруженные обновления необходимо помещать именно в эту папку

AVZ\Backup — Папка с резервными копиями критических настроек системы. Резервные копии создаются автоматически в процессе лечения и восстановления системы или выполняются по команде пользователя. Папка содержит подкаталоги с именами вида «ГГГГ-ММ-ДД», где ГГГГ — год, ММ — месяц, ДД — день.

AVZ\Infected — Папка с копиями удаленных вредоносных объектов

AVZ\Quarantine — Карантин — папка с копиями подозрительных объектов

Папки Infected и Quarantine внутри содержат подкаталоги с именами вида «ГГГГ-ММ-ДД», где ГГГГ — год, ММ — месяц, ДД — день. Такая организация существенно упрощает последующую работу с этими папками (в частности, упрощается их очистка и просмотр).

На заметку :

Папки Infected и Quarantine могут быть перемещены в любой каталог с помощью ключа командной строки QuarantineBaseFolder

Перед началом работы с программой на время проверки и лечения рекомендуется отключить средства фонового мониторинга изменений реестра и антивирусные мониторы. Данное условие не является обязательным, однако его несоблюдение может привести к существенному увеличению длительности сканирования — несколько часов вместо нескольких минут. Причина этого состоит в том, что антивирусный монитор проверяет все открываемые файлы в момент их открытия.

Конечно же это не полный перечень всех возможностей программы AVZ, но приведенной информации достаточно для профилактики вашей системы или срочной ее реанимации. Поверьте, программа способна справиться и с более серьезными проблемами. Более того, некоторые из таких проблем решаются этой программкой намного быстрее и изящнее многих «монстров» антивирусных технологий.

И еще раз напоминаю, что подробное описание возможностей программы AVZ и особенностей работы с ней вы можете найти на сайте господина Зайцева.

Кроме того на сайте автора можно найти массу полезной информации по конкретным случаям, их признакам, диагностике и способам решения с помощью AVZ.

www. bestfree. ru/soft/sec/antitroyan. php

 



  • На главную