Avz скрипт удаления баннера поисковика

Обновлено: 07.07.2024

Утилита AVZ снабжена множеством инструментов для выявления вирусов/троянов и их удаления. Например, чтобы изучить активные прцессы: "Сервис" - > "Диспетчер процессов" и на экране увидите активные процессы, которые можно завершать. И для облегчения анализа данных, AVZ раскрашивает обнаруженные элементы разным цветом: зеленым выделены известные утилите чистые файлы, а черным неизвестные файлы, которые могут как вирусными, так и чистыми. А красным выделены файлы, которые заслуживают особого внимания.

А для изучения автозагрузки выберите "сервис" - > "менеджер автозапуска".

Но AVZ имеет много разных сервисов и менеджеров, поэтому для ускорения анализа системы удобней создать лог, в котором будут выделены все элементы заслуживающие внимание. Лог AVZ представляет собой html файл с возможностью создать "на лету" скрипт лечения системы. Далее процесс лечения с помощью AVZ будет рассмотрен именно через анализ лога AVZ и создание скрипта лечения.

- Запуск утилиты AVZ -

Перед началом лечения системы необходимо обязательно обновить базы AVZ: "Файл" -> "Обновление баз" -> "Пуск". Если это невозможно сделать на зараженном компьютере, то обновите на здоровой системе.

  • переименуйте файл avz.exe , например, в 2345435.exe или winlogon.exe
  • смените расширение exe на com или scr или cmd и т.п.
  • используйте ключи: AM=Y для включения базовой защиты; ag=y для включения AVZGuard; NewDsk=Y для запуска AVZ на отдельном рабочем.

Чтобы обездвижить вирус на время анализа системы включите AVZGuard : "AVZGuard " - > "Включить. " . Если при его включении вдруг возникают проблемы, то что нужно делать? Правильно, не включать.

- Создание лога AVZ -

Для создания лога: "Файл" -> "Стандартные скрипты", поставьте галки на первый скрипт "Поиск и нейтрализация RootKit UserMode и KernelMode" и второй скрипт "Скрипт сбора информации для раздела. ", затем нажмите "Выполнить отмеченные скрипты" и ждите.


Если возникли проблемы при выполнении этих скриптов, то повторите, но не выставляйте галку на первый скрипт.

После того, как AVZ сообщит, что "Скрипты выполнены", отключите " AVZGuard ". Найдите в папке AVZ папку " LOG", а в ней файл virusinfo_syscheck.htm - это и есть лог AVZ, с помощью которого будете создавать скрипт лечения.

Внимание! При создании скрипта лечения необходимо осознавать, что это связано с риском нанести серьезный урон системе неопытным пользователем. Будьте предельно внимательны. Если не уверены в своих действиях, то лучше обратитесь к более опытному специалисту.

В качестве подопытного изучите этот лог: virusinfo_syscheck.htm

После открытия лога в браузере советую сразу промотать лог в раздел "Подозрительные объекты".


Внимание, если файл показался подозрительным утилите AVZ, то это не значит, что файл действительно зловредный. Произведите анализ расширения файла, имя файла, путь расположения файла. Сопоставьте с информацией в "Описании", изучите "Тип". И только после этого выносите ему приговор. Для примера посмотрите на скриншот:


На скриншоте видно, что утилита AVZ посчитала подозрительными файлы SandBox.sys и afwcore.sys, пролистываем лог вниз и видим, что эти файлы опознаны как безопасные и удалять их категорически нельзя.



Вернемся к зловредным файлам. Например, подозрительный файл "c:\windows\system32\28463\mkmp.006" - файл расположен в подозрительной папке, у него подозрительное расширение, также AVZ сообщает, что он похож на зловред "Monitor.Win32.Ardamax.jk", значит с большой степенью вероятности это зловред, щелкните "Удалить" под записью.


Аналогично с зловредными файлами "c:\windows\system32\28463\mkmp.007", "C:\WINDOWS\system32\28463\MKMP.007", "C:\WINDOWS\system32\28463\MKMP.006". Вот уже и положено начало скрипту лечения. Теперь изучите запись "C:\WINDOWS\system32\VBoxMRXNP.dll". Изучите ее по подозрительным критериям. Будете ее удалять? Если не будете, то правильно и сделаете, это нужный чистый файл, который удалять нельзя.

Далее следует вернуться к началу лога и проанализировать его полностью.

Первый раздел лога "Список процессов" отображает процессы, которые были активны на момент создания лога. Обратите внимание, что чистые процессы помечены зеленым цветом и удалять их не советую. Желтым цветом помечены неизвестные процессы, которые могут быть как вирусными, так и полезными (необходимыми!) и следует внимательно проанализировать запись.

Например, "c:\docume

1\temp\ins1f.tmp.exe" - явная подозрительная запись: расположена во временной папке, странное имя файла, двойное расширение, отсутствует описание, отсутствует Copyright, дата создания/изменения свежая. Нажмите под этой записью сначала "Завершить", затем "Удалить".

Аналогично выносим смертный приговор записям "c:\windows\system32\28463\mkmp.exe", "c:\documents and settings\admin\Рабочий стол\simolean-generator.exe".

А вот записи "c:\windows\system32\vboxservice.exe" и "c:\windows\system32\vboxtray.exe" чистые и их нельзя удалять!

Далее изучаем модули:


Щелкаем "Удалить" в отношении записей "C:\WINDOWS\system32\28463\MKMP.006", "C:\WINDOWS\system32\28463\MKMP.007". Кстати, если их уже обрабатывали, то ничего страшного, если они будут упоминаться в скрипте несколько раз, пусть это и не очень красиво, но на эффективности скрипта никак не скажется.

Раздел "Модули пространства ядра". Тут все записи чистые.

Раздел "Службы". Тут только одна неизвестная запись, но которая является чистым файлом, удалять нельзя.

Раздел "Драйверы". Здесь будьте предельно осторожны. Неизвестных записей много, и как правило, они чистые и крайне важны для работы системы.

Раздел "Автозапуск". Неизвестных записей (не зеленых) будет много, удаляйте только явно подозрительные. Например, "C:\Documents and Settings\Admin\Application Data\Tupumo\ovnab.exe" соответствует нескольким критериям подозрительности. Щелкните под этой записью "Удалить", в "Описание" тоже "Удалить". Аналогично поступить с "C:\WINDOWS\system32\28463\MKMP.exe"

Раздел "Модули расширения Internet Explorer (BHO, панели . )". Здесь вы можете обнаружить различные навязчивые тулбары. Но в нашем примере здесь нет зловредных записей.

Раздел "Модули расширения проводника". Чисто.

Разделы "Модули расширения системы печати (мониторы печати, провайдеры)", "Задания планировщика задач Task Scheduler", "Настройки SPI/LSP" - чисто.

"Порты TCP/UDP" - тут одна зловредная запись "c:\docume

Разделы "Downloaded Program Files (DPF)", "Апплеты панели управления (CPL)", "Active Setup" - чисто.

Раздел "Файл HOSTS" - данный файл зловреды могут использовать для переадресации на поддельные сайты или для "заземления" сайтов антивирусов. Если будут подозрительные записи, то щелкните по "Очистка файла Hosts".

После того, как отработаете все подозрительные записи, смотрите низ лога, окно "Команды скрипта" - здесь вы увидите создаваемый скрипт лечения.

Команды скрипта

- Обязательные (и не очень) примочки скрипта -

Под скриптом посмотрите какие можно еще добавить команды:


Щелкните по командам:

  • "Нейтрализация перехватов функций при помощи антируткита" (назначение понятно из названия),
  • "Включить AVZGuard" (позволит обездвижить вирусы на момент выполнения скрипта),
  • "Чистка реестра после удаления файлов",
  • "ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем" (почистит возможные следы заражения),
  • "Перезагрузка" (после выполнения скрипта необходимо перезагрузить компьютер).

Внимание, команды "Нейтрализация перехватов функций при помощи антируткита" и "Включить AVZGuard" могут вызвать ошибки на 64-битных системах. Учитывайте это, не включайте эти команды при лечении 64 битной Windows. Если не известно, какая разрядность системы, то можно строки скрипта:

SetAVZGuardStatus(True);
SearchRootkit(true, true);

if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;

Для борьбы с трудноудаляемыми вредоносными программами используйте технологию Boot Cleaner утилиты AVZ: команды "BootCleaner - импортировать все" и "BootCleaner - активация" .

Посмотрите Дополнительные операции:


Добавление команд из Дополнительных операций позволяют немного оптимизировать систему с точки зрения безопасности. Для лечения системы в этом нет необходимости! Щелкать по данным командам нужно выборочно и с умом. Например, если вы добавите в скрипт "отключить службу Schedule (Планировщик заданий)", то это с большой степенью вероятности негативно скажется на работе системы. Из данных команд можно добавить:

  • "отключить службу RemoteRegistry (Удаленный реестр)",
  • "отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)",
  • "отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)",
  • "безопасность - отключить административный доступ к локальным дискам",
  • "безопасность - блокировать возможность подключения анонимных пользователей".

Повторюсь, Дополнительные операции не требуются для лечения системы.

После того, как закончили анализ лога, скопируйте код скрипта из окна "Команды скрипта", у вас должен получится примерно такой скрипт:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\documents and settings\admin\Рабочий стол\simolean-generator.exe');
TerminateProcessByName('c:\windows\system32\28463\mkmp.exe');
TerminateProcessByName('c:\docume

1\temp\ins1f.tmp.exe');
DeleteFile('c:\windows\system32\28463\mkmp.exe');
DeleteFile('c:\documents and settings\admin\Рабочий стол\simolean-generator.exe');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.006');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.007');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Tupumo\ovnab.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MKMP Agent');
BC_DeleteFile('c:\docume

1\temp\ins1f.tmp.exe');
DeleteFile('c:\windows\system32\28463\mkmp.006');
DeleteFile('c:\windows\system32\28463\mkmp.007');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Далее запустите на зараженной системе утилиту AVZ, "Файл" - > " Выполнить скрипт". Если скрипт был сохранен в txt файл, то выберите его через "Загрузить". Если скрипт был скопирован в буфер, то вставьте его из буфера. Для выполнения скрипта нажмите "Запустить".

Стандартные скрипты предназначены для автоматизации основных операций, выполняемых при помощи AVZ. Они хранятся в базе AVZ и обновляются при помощи автоматического обновления. Вызов окна "Стандартные скрипты" производится из меню "Файл/Стандартные скрипты".

Для выполнения одного или нескольких стандартных скриптов необходимо отметить их в списке и затем нажать кнопку "Выполнить отмеченные скрипты". Если отмечено несколько скриптов, то они выполняются последовательно.

Окно можно закрыть только после завершения последнего из выбранных скриптов - это сделано специально для блокировки органов управления AVZ на время выполнения стандартных скриптов.


Для аварийной остановки процесса выполнения скриптов необходимо нажать кнопку "Остановить выполнение". Следует учитывать, что остановка происходит не мгновенно - с момента нажатия кнопки до остановки может пройти несколько секунд. Это нормальное явление, т.к. остановка некоторых операций в ходе их выполнения невозможна.

В настоящий момент поддерживаются следующие операции:

1. Поиск и нейтрализации RootKit UserMode и KernelMode. Выполняет поиск руткитов с нейтрализацией всех обнаруженных перехватов.

Важно: после нейтрализации перехватов и выполнения неких действий по исследованию и лечению ПК в обязательно порядке необходимо перезагрузить компьютер.

2. Скрипт сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера (без лечения) и исследования системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами

3. Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера с лечением и выполняет исследование системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами

4. Скрипт сбора неопознанных и подозрительных файлов. Выполняет две операции - сканирование системы с карантином всех заподозренных файлов + автоматический карантин с максимальными настройками. В результате в карантин попадают файлы, которые заподозрены AVZ или не опознаны по базе безопасных объектов.

6. Удаление всех драйверов и ключей реестра AVZ. Производит автоматическое удаление всех драйверов и ключей реестра, которые могли быть созданы в процессе работы AVZ. В обычной ситуации это не требуется, так как AVZ автоматически удаляет ключи реестра и файлы, временно установленные в систему. Является аналогом деинсталляции и рекомендуется к применению на ПК после завершения использования AVZ.

7. Скрипт обновления, лечения и сбора информации. Kaspersky Lab. Выполняет попытку обновления баз, после чего производит быструю проверку/лечение ПК и формирует протокол исследования системы в папке AVZ под именем "KL_syscure". Применяется на форуме Лаборатории Касперского и специалистами технической поддержки. Важной особенностью скрипта является то, что после завершения его работы компьютер автоматически перезагружается, поэтому перед запуском скрипта выводится диалоговое окно с предупреждением о перезагрузке.

8.VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК. Пытается обновить базы AVZ, очищает карантин AVZ, после чего проводит экспресс-обследование ПК и собирает в карантин копии всех исполняемых файлов, не опознанных по базе чистых AVZ. Применяется для сервиса VirusDetector

9. Скрипт обновления, лечения и сбора информации. Kaspersky Lab (без фильтра чистых). Аналогичен скрипту 7 за тем исключением, что при формировании протокола исследования системы выключается фильтрация протокола по базе чистых, размер протокола при этом возрастает на порядки. Применяется в случае, если есть подозрение на то, что вредоносные действия на обследуемом ПК достигаются путем использования легитимных программ (например, запуск браузера с определенными параметрами через планировщик заданий). В версии 5.xx добавлен ряд эвристических проверок, распознающих типовые варианты вредоносного использования легитимных программ и имеющих приоритет над фильтром по базе чистых, поэтому в большинстве случаев подозрительные элементы будут отображаться в протоколах, формируемых скриптами 2,3 и 7.

Номера скриптов уникальны и не меняются при дополнении и обновлении базы.

Стандартные скрипты могут вызываться из скриптов пользователя по уникальному номеру при помощи функции ExecuteStdScr

Как выполнить скрипт в AVZ

Основной задачей любого антивируса является выявление и уничтожение вредоносного программного обеспечения. Поэтому далеко не весь защитный софт умеет работать с такими файлами, как скрипты. Однако герой нашей сегодняшней статьи к таковому не относится. В данном уроке мы расскажем вам о том, как работать со скриптами в AVZ.

Варианты запуска скриптов в AVZ

Скрипты, которые написаны и выполняются в AVZ, направлены на выявление и уничтожение разного рода вирусов и уязвимостей. Причем в софте есть как готовые базовые сценарии, так и возможность выполнить другие скрипты. Мы уже упоминали об этом вскользь в нашей отдельной статье, посвященной использованию AVZ.

Давайте теперь рассмотрим процесс работы со скриптами более детально.

Способ 1: Выполнение заготовленных сценариев

Описываемые в данном способе скрипты, вшиты по умолчанию в саму программу. Их нельзя изменить, удалить или модифицировать. Вы можете только запустить их выполнение. Вот как выглядит это на практике.

Запускаем из папки программу AVZ

Открываем стандартные скрипты в AVZ

Отмечаем скрипты из списка стандартных сценариев AVZ

Кнопка запуска отмеченных сценариев AVZ

Подтверждаем запуск стандартных сценариев в AVZ

Протокол выполнения скриптов AVZ

Операции с найденными угрозами в AVZ

Вот и весь процесс использования стандартных сценариев. Как видите, все очень просто и не требует от вас специальных навыков. Данные скрипты всегда находятся в актуальном состоянии, так как автоматически обновляются вместе с версией самой программы. Если вы хотите написать свой скрипт или выполнить другой сценарий, вам поможет наш следующий способ.

Способ 2: Работа с индивидуальными процедурами

Как мы уже отмечали ранее, с помощью данного метода вы сможете написать собственный сценарий для AVZ либо загрузить необходимый скрипт из интернета и выполнить его. Для этого нужно проделать следующие манипуляции.

Открываем редактор скриптов в AVZ

Рабочая область редактора скриптов в AVZ

Основные кнопки в окне редактора сценариев AVZ

Открываем скрипт в AVZ

Окно сохранения файла со скриптом AVZ

Ход выполнения скрипта в поле Протокол в AVZ

Вот и вся информация, о которой мы хотели поведать вам в данном уроке. Как мы уже упоминали, все скрипты для AVZ направлены на устранение вирусных угроз. Но помимо скриптов и самой AVZ есть и другие способы избавится от вирусов без установленного антивируса. О таких методах мы рассказывали ранее в одной из наших специальных статей.

Закрыть

Мы рады, что смогли помочь Вам в решении проблемы.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Закрыть

Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.



Антивирусная утилита AVZ предназначена:
• обнаружение и удаление SpyWare и AdWare, Dialers (Trojan.Dialer), Троянских программ, BackDoors, сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper
• Эвристическая проверка системы
• Обновляемая база безопасных файлов.
• Встроенная система обнаружения Rootkit
• Детектор клавиатурных шпионов (Keylogger) и троянских DLL
• Нейроанализатор
• Встроенный анализатор Winsock SPI/LSP настроек.
• Встроенный диспетчер процессов, сервисов и драйверов.
• Встроенная утилита для поиска файлов на диске.
• Встроенная утилита для поиска данных в реестре.
• Встроенный анализатор открытых портов TCP/UDP.
• Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов.
• Встроенный анализатор Downloaded Program Files (DPF)
• Микропрограммы восстановления системы
• Эвристическое удаление файлов.
• Проверка архивов ZIP, RAR, CAB, GZIP, TAR; EML и MHT файлы; CHM архивы
• Проверка и лечение потоков NTFS.
• Скрипты управления.
• Анализатор процессов.
• Встроенный механизм обновления антивирусных баз. (меню "Файл")
• Система AVZGuard.
• Система прямого доступа к диску для работы с заблокированными файлами.
• Драйвер мониторинга процессов и драйверов AVZPM.
• Драйвер Boot Cleaner.
Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode.


Последняя полная версия антивирусной утилиты AVZ 5.XX . (Обновляется вручную регулярно, но с задержкой. Без задержек всегда актуальная, внутри AutoLogger-а - обновляется ежедневно).
Для тех. поддержки ЛК урезанная версия утилиты AVZ 5.50 .
Последний полиморфный AVZ. (Перезаливаю вручную примерно раз в месяц).
В этой версии появились новые возможности по восстановлению системы, добавлена эвристика для обнаружения вредоносных заданий планировщика, и ряд других улучшений.

и вот чего надумал:

допустим обновление на клиентских машинах происходит с зеркала на _ftp://172.26.27.127/SoftWare/Антивирусы/AVZ_4.30/Base/
туда же на зеркало к базам ложим архив с новым avz, допустим с именем avz4.zip

пишем батник, который делал бы следующее:

допустим при этом вместе с базами с зеркала будет скачен и архив с новым avz

тогда шаг 2:
удаляем старый avz с его базами и на его место распаковываем новый avz из полученного архива

в первом приближении батник получился таким:

допустим, что зеркало для нового avz будет на _ftp://172.26.27.127/SoftWare/Антивирусы/AVZ_4.32/Base/

тогда, чтобы произошел переход клиентских машин на обновление с нового зеркала, вносим изменения в скрипт aupd
Подробнее.

и выкладываем его на старое и новое зеркала

теперь, чтобы клиентские машины скачали этот скрипт и архив с новым avz вместе с базами, нужно на зеркале соответствующим образом сформировать файл avzupd.zip
ранее я уже выкладывал здесь скрипт для nnCron, который как раз и выполняет эту функцию
но, как я подозреваю, далеко не все пользуются nnCron-ом, поэтому этот скрипт я переделал в батник

ps:
1. подразумевается, что архив с новой версией avz и базами будет сформирован следующим образом:

2. в принципе точно так же можно обновлять и редактор скриптов, и плугин для бата, если, конечно, они будут изменяться

Возня. Решается элементарно:

Параметры вызова данного скрипта из командной строки AVZ:

Единственное условие выполнения данного скрипта, это то, что планировщик
должен вызывать программу avz.exe с учётом путей к ней.

Более того, там уже с конца апреля лежит nncron193b8.exe 1.9.3.1135. И прекрасно лежит.

Спасибо, об этом я не задумывался. Я ведь говорю - случайно наткнулся. Решил гляныть нет ли более новых скриптов что делаю обычно раз в пару лет.

про запуск через nnCron я отлично знаю и сам этим пользуюсь
только какое это имеет отношение к тому, что я написал?

я написал про то, что вместе с базами можно рассылать и автоматически обновлять сам avz и скрипты к нему
наподобие того, как обновляются исполняемые модули, наример, в dr. web

Читайте также: