Avz скрипты для удаления вирусов

Обновлено: 07.07.2024

Утилита AVZ снабжена множеством инструментов для выявления вирусов/троянов и их удаления. Например, чтобы изучить активные прцессы: "Сервис" - > "Диспетчер процессов" и на экране увидите активные процессы, которые можно завершать. И для облегчения анализа данных, AVZ раскрашивает обнаруженные элементы разным цветом: зеленым выделены известные утилите чистые файлы, а черным неизвестные файлы, которые могут как вирусными, так и чистыми. А красным выделены файлы, которые заслуживают особого внимания.

А для изучения автозагрузки выберите "сервис" - > "менеджер автозапуска".

Но AVZ имеет много разных сервисов и менеджеров, поэтому для ускорения анализа системы удобней создать лог, в котором будут выделены все элементы заслуживающие внимание. Лог AVZ представляет собой html файл с возможностью создать "на лету" скрипт лечения системы. Далее процесс лечения с помощью AVZ будет рассмотрен именно через анализ лога AVZ и создание скрипта лечения.

- Запуск утилиты AVZ -

Перед началом лечения системы необходимо обязательно обновить базы AVZ: "Файл" -> "Обновление баз" -> "Пуск". Если это невозможно сделать на зараженном компьютере, то обновите на здоровой системе.

• переименуйте файл avz.exe , например, в 2345435.exe или winlogon.exe
• смените расширение exe на com или scr или cmd и т.п.
• используйте ключи: AM=Y для включения базовой защиты; ag=y для включения AVZGuard; NewDsk=Y для запуска AVZ на отдельном рабочем.

Чтобы обездвижить вирус на время анализа системы включите AVZGuard : "AVZGuard " - > "Включить. " . Если при его включении вдруг возникают проблемы, то что нужно делать? Правильно, не включать.

- Создание лога AVZ -

Для создания лога: "Файл" -> "Стандартные скрипты", поставьте галки на первый скрипт "Поиск и нейтрализация RootKit UserMode и KernelMode" и второй скрипт "Скрипт сбора информации для раздела. ", затем нажмите "Выполнить отмеченные скрипты" и ждите.

Если возникли проблемы при выполнении этих скриптов, то повторите, но не выставляйте галку на первый скрипт.

После того, как AVZ сообщит, что "Скрипты выполнены", отключите " AVZGuard ". Найдите в папке AVZ папку " LOG", а в ней файл virusinfo_syscheck.htm - это и есть лог AVZ, с помощью которого будете создавать скрипт лечения.

Внимание! При создании скрипта лечения необходимо осознавать, что это связано с риском нанести серьезный урон системе неопытным пользователем. Будьте предельно внимательны. Если не уверены в своих действиях, то лучше обратитесь к более опытному специалисту.

В качестве подопытного изучите этот лог: virusinfo_syscheck.htm

После открытия лога в браузере советую сразу промотать лог в раздел "Подозрительные объекты".

Внимание, если файл показался подозрительным утилите AVZ, то это не значит, что файл действительно зловредный. Произведите анализ расширения файла, имя файла, путь расположения файла. Сопоставьте с информацией в "Описании", изучите "Тип". И только после этого выносите ему приговор. Для примера посмотрите на скриншот:

На скриншоте видно, что утилита AVZ посчитала подозрительными файлы SandBox.sys и afwcore.sys, пролистываем лог вниз и видим, что эти файлы опознаны как безопасные и удалять их категорически нельзя.

Вернемся к зловредным файлам. Например, подозрительный файл "c:\windows\system32\28463\mkmp.006" - файл расположен в подозрительной папке, у него подозрительное расширение, также AVZ сообщает, что он похож на зловред "Monitor.Win32.Ardamax.jk", значит с большой степенью вероятности это зловред, щелкните "Удалить" под записью.

Аналогично с зловредными файлами "c:\windows\system32\28463\mkmp.007", "C:\WINDOWS\system32\28463\MKMP.007", "C:\WINDOWS\system32\28463\MKMP.006". Вот уже и положено начало скрипту лечения. Теперь изучите запись "C:\WINDOWS\system32\VBoxMRXNP.dll". Изучите ее по подозрительным критериям. Будете ее удалять? Если не будете, то правильно и сделаете, это нужный чистый файл, который удалять нельзя.

Далее следует вернуться к началу лога и проанализировать его полностью.

Первый раздел лога "Список процессов" отображает процессы, которые были активны на момент создания лога. Обратите внимание, что чистые процессы помечены зеленым цветом и удалять их не советую. Желтым цветом помечены неизвестные процессы, которые могут быть как вирусными, так и полезными (необходимыми!) и следует внимательно проанализировать запись.

Например, "c:\docume

1\temp\ins1f.tmp.exe" - явная подозрительная запись: расположена во временной папке, странное имя файла, двойное расширение, отсутствует описание, отсутствует Copyright, дата создания/изменения свежая. Нажмите под этой записью сначала "Завершить", затем "Удалить".

Аналогично выносим смертный приговор записям "c:\windows\system32\28463\mkmp.exe", "c:\documents and settings\admin\Рабочий стол\simolean-generator.exe".

А вот записи "c:\windows\system32\vboxservice.exe" и "c:\windows\system32\vboxtray.exe" чистые и их нельзя удалять!

Далее изучаем модули:

Щелкаем "Удалить" в отношении записей "C:\WINDOWS\system32\28463\MKMP.006", "C:\WINDOWS\system32\28463\MKMP.007". Кстати, если их уже обрабатывали, то ничего страшного, если они будут упоминаться в скрипте несколько раз, пусть это и не очень красиво, но на эффективности скрипта никак не скажется.

Раздел "Модули пространства ядра". Тут все записи чистые.

Раздел "Службы". Тут только одна неизвестная запись, но которая является чистым файлом, удалять нельзя.

Раздел "Драйверы". Здесь будьте предельно осторожны. Неизвестных записей много, и как правило, они чистые и крайне важны для работы системы.

Раздел "Автозапуск". Неизвестных записей (не зеленых) будет много, удаляйте только явно подозрительные. Например, "C:\Documents and Settings\Admin\Application Data\Tupumo\ovnab.exe" соответствует нескольким критериям подозрительности. Щелкните под этой записью "Удалить", в "Описание" тоже "Удалить". Аналогично поступить с "C:\WINDOWS\system32\28463\MKMP.exe"

Раздел "Модули расширения Internet Explorer (BHO, панели . )". Здесь вы можете обнаружить различные навязчивые тулбары. Но в нашем примере здесь нет зловредных записей.

Раздел "Модули расширения проводника". Чисто.

Разделы "Модули расширения системы печати (мониторы печати, провайдеры)", "Задания планировщика задач Task Scheduler", "Настройки SPI/LSP" - чисто.

"Порты TCP/UDP" - тут одна зловредная запись "c:\docume

Разделы "Downloaded Program Files (DPF)", "Апплеты панели управления (CPL)", "Active Setup" - чисто.

Раздел "Файл HOSTS" - данный файл зловреды могут использовать для переадресации на поддельные сайты или для "заземления" сайтов антивирусов. Если будут подозрительные записи, то щелкните по "Очистка файла Hosts".

После того, как отработаете все подозрительные записи, смотрите низ лога, окно "Команды скрипта" - здесь вы увидите создаваемый скрипт лечения.

- Обязательные (и не очень) примочки скрипта -

Под скриптом посмотрите какие можно еще добавить команды:

Щелкните по командам:

• "Нейтрализация перехватов функций при помощи антируткита" (назначение понятно из названия),
• "Включить AVZGuard" (позволит обездвижить вирусы на момент выполнения скрипта),
• "Чистка реестра после удаления файлов",
• "ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем" (почистит возможные следы заражения),
• "Перезагрузка" (после выполнения скрипта необходимо перезагрузить компьютер).

Внимание, команды "Нейтрализация перехватов функций при помощи антируткита" и "Включить AVZGuard" могут вызвать ошибки на 64-битных системах. Учитывайте это, не включайте эти команды при лечении 64 битной Windows. Если не известно, какая разрядность системы, то можно строки скрипта:

SetAVZGuardStatus(True);
SearchRootkit(true, true);

if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;

Для борьбы с трудноудаляемыми вредоносными программами используйте технологию Boot Cleaner утилиты AVZ: команды "BootCleaner - импортировать все" и "BootCleaner - активация" .

Посмотрите Дополнительные операции:

Добавление команд из Дополнительных операций позволяют немного оптимизировать систему с точки зрения безопасности. Для лечения системы в этом нет необходимости! Щелкать по данным командам нужно выборочно и с умом. Например, если вы добавите в скрипт "отключить службу Schedule (Планировщик заданий)", то это с большой степенью вероятности негативно скажется на работе системы. Из данных команд можно добавить:

• "отключить службу RemoteRegistry (Удаленный реестр)",
• "отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)",
• "отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)",
• "безопасность - отключить административный доступ к локальным дискам",
• "безопасность - блокировать возможность подключения анонимных пользователей".

Повторюсь, Дополнительные операции не требуются для лечения системы.

После того, как закончили анализ лога, скопируйте код скрипта из окна "Команды скрипта", у вас должен получится примерно такой скрипт:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\documents and settings\admin\Рабочий стол\simolean-generator.exe');
TerminateProcessByName('c:\windows\system32\28463\mkmp.exe');
TerminateProcessByName('c:\docume

1\temp\ins1f.tmp.exe');
DeleteFile('c:\windows\system32\28463\mkmp.exe');
DeleteFile('c:\documents and settings\admin\Рабочий стол\simolean-generator.exe');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.006');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.007');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Tupumo\ovnab.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MKMP Agent');
BC_DeleteFile('c:\docume

1\temp\ins1f.tmp.exe');
DeleteFile('c:\windows\system32\28463\mkmp.006');
DeleteFile('c:\windows\system32\28463\mkmp.007');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Далее запустите на зараженной системе утилиту AVZ, "Файл" - > " Выполнить скрипт". Если скрипт был сохранен в txt файл, то выберите его через "Загрузить". Если скрипт был скопирован в буфер, то вставьте его из буфера. Для выполнения скрипта нажмите "Запустить".

Стандартные скрипты предназначены для автоматизации основных операций, выполняемых при помощи AVZ. Они хранятся в базе AVZ и обновляются при помощи автоматического обновления. Вызов окна "Стандартные скрипты" производится из меню "Файл/Стандартные скрипты".

Для выполнения одного или нескольких стандартных скриптов необходимо отметить их в списке и затем нажать кнопку "Выполнить отмеченные скрипты". Если отмечено несколько скриптов, то они выполняются последовательно.

Окно можно закрыть только после завершения последнего из выбранных скриптов - это сделано специально для блокировки органов управления AVZ на время выполнения стандартных скриптов.

Для аварийной остановки процесса выполнения скриптов необходимо нажать кнопку "Остановить выполнение". Следует учитывать, что остановка происходит не мгновенно - с момента нажатия кнопки до остановки может пройти несколько секунд. Это нормальное явление, т.к. остановка некоторых операций в ходе их выполнения невозможна.

В настоящий момент поддерживаются следующие операции:

1. Поиск и нейтрализации RootKit UserMode и KernelMode. Выполняет поиск руткитов с нейтрализацией всех обнаруженных перехватов.

Важно: после нейтрализации перехватов и выполнения неких действий по исследованию и лечению ПК в обязательно порядке необходимо перезагрузить компьютер.

2. Скрипт сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера (без лечения) и исследования системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами

3. Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера с лечением и выполняет исследование системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами

4. Скрипт сбора неопознанных и подозрительных файлов. Выполняет две операции - сканирование системы с карантином всех заподозренных файлов + автоматический карантин с максимальными настройками. В результате в карантин попадают файлы, которые заподозрены AVZ или не опознаны по базе безопасных объектов.

6. Удаление всех драйверов и ключей реестра AVZ. Производит автоматическое удаление всех драйверов и ключей реестра, которые могли быть созданы в процессе работы AVZ. В обычной ситуации это не требуется, так как AVZ автоматически удаляет ключи реестра и файлы, временно установленные в систему. Является аналогом деинсталляции и рекомендуется к применению на ПК после завершения использования AVZ.

7. Скрипт обновления, лечения и сбора информации. Kaspersky Lab. Выполняет попытку обновления баз, после чего производит быструю проверку/лечение ПК и формирует протокол исследования системы в папке AVZ под именем "KL_syscure". Применяется на форуме Лаборатории Касперского и специалистами технической поддержки. Важной особенностью скрипта является то, что после завершения его работы компьютер автоматически перезагружается, поэтому перед запуском скрипта выводится диалоговое окно с предупреждением о перезагрузке.

8.VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК. Пытается обновить базы AVZ, очищает карантин AVZ, после чего проводит экспресс-обследование ПК и собирает в карантин копии всех исполняемых файлов, не опознанных по базе чистых AVZ. Применяется для сервиса VirusDetector

9. Скрипт обновления, лечения и сбора информации. Kaspersky Lab (без фильтра чистых). Аналогичен скрипту 7 за тем исключением, что при формировании протокола исследования системы выключается фильтрация протокола по базе чистых, размер протокола при этом возрастает на порядки. Применяется в случае, если есть подозрение на то, что вредоносные действия на обследуемом ПК достигаются путем использования легитимных программ (например, запуск браузера с определенными параметрами через планировщик заданий). В версии 5.xx добавлен ряд эвристических проверок, распознающих типовые варианты вредоносного использования легитимных программ и имеющих приоритет над фильтром по базе чистых, поэтому в большинстве случаев подозрительные элементы будут отображаться в протоколах, формируемых скриптами 2,3 и 7.

Номера скриптов уникальны и не меняются при дополнении и обновлении базы.

Стандартные скрипты могут вызываться из скриптов пользователя по уникальному номеру при помощи функции ExecuteStdScr

Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:

• SpyWare и AdWare модулей - это основное назначение утилиты
• Dialer (Trojan.Dialer)
• Троянских программ
• BackDoor модулей
• Сетевых и почтовых червей
• TrojanSpy, TrojanDownloader, TrojanDropper

Эта утилита не является полноценной антивирусной программой (что, кстати, хорошо, ибо она не комфликтует с уже установленным). AVZ это утилита, которая не требует установки и является хорошим помощником в самых непредсказуемых случаях. Зачастую именно с помощью AVZ удается дать системе снова вздохнуть достаточно широко, чтобы хотя бы оживить\установить нормальный антивирус и добить всякую шушеру им.
В общем, приступим.

Делаем все строго как описано. Отклонения от инструкции могут привести к некачественной очистке.

В конце строки Настройки:кнопка с тремя точками, нажав на неё, попадаем в окно с настройками.

По окончании процесса обновления баз нажимаем Закрыть.

На вкладке Область поискавыделяем галочками все жесткие диски, флешки (если не вставлена, то вставить).

Переходим на вкладку Типы файлов

Переходим на вкладку Параметры поиска .

Далее жмем AVZGuard

Включить AVZGuard

Далее жмем AVZPM

Внимание! На время проверки, скорее всего, Вы не сможете запустить почти ни одну программу на компьютере, а так же войти в системный диск (обычно – это C:\). Лучше вообще оставьте компьютер в покое.
Дело в том, что AVZ таким образом блокирует все возможные передвижения вирусов, программ, spyware и тп, т.е. любые попытки обмануть сканер (сбежать, спрятаться, прикнуться чем-то еще и тд) или же сделать пакость последним вздохом.

Антивирусная утилита AVZ предназначена:
• обнаружение и удаление SpyWare и AdWare, Dialers (Trojan.Dialer), Троянских программ, BackDoors, сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper
• Эвристическая проверка системы
• Обновляемая база безопасных файлов.
• Встроенная система обнаружения Rootkit
• Детектор клавиатурных шпионов (Keylogger) и троянских DLL
• Нейроанализатор
• Встроенный анализатор Winsock SPI/LSP настроек.
• Встроенный диспетчер процессов, сервисов и драйверов.
• Встроенная утилита для поиска файлов на диске.
• Встроенная утилита для поиска данных в реестре.
• Встроенный анализатор открытых портов TCP/UDP.
• Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов.
• Встроенный анализатор Downloaded Program Files (DPF)
• Микропрограммы восстановления системы
• Эвристическое удаление файлов.
• Проверка архивов ZIP, RAR, CAB, GZIP, TAR; EML и MHT файлы; CHM архивы
• Проверка и лечение потоков NTFS.
• Скрипты управления.
• Анализатор процессов.
• Встроенный механизм обновления антивирусных баз. (меню "Файл")
• Система AVZGuard.
• Система прямого доступа к диску для работы с заблокированными файлами.
• Драйвер мониторинга процессов и драйверов AVZPM.
• Драйвер Boot Cleaner.
Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode.

Последняя полная версия антивирусной утилиты AVZ 5.XX . (Обновляется вручную регулярно, но с задержкой. Без задержек всегда актуальная, внутри AutoLogger-а - обновляется ежедневно).
Для тех. поддержки ЛК урезанная версия утилиты AVZ 5.50 .
Последний полиморфный AVZ. (Перезаливаю вручную примерно раз в месяц).
В этой версии появились новые возможности по восстановлению системы, добавлена эвристика для обнаружения вредоносных заданий планировщика, и ряд других улучшений.

и вот чего надумал:

допустим обновление на клиентских машинах происходит с зеркала на _ftp://172.26.27.127/SoftWare/Антивирусы/AVZ_4.30/Base/
туда же на зеркало к базам ложим архив с новым avz, допустим с именем avz4.zip

пишем батник, который делал бы следующее:

допустим при этом вместе с базами с зеркала будет скачен и архив с новым avz

тогда шаг 2:
удаляем старый avz с его базами и на его место распаковываем новый avz из полученного архива

в первом приближении батник получился таким:

допустим, что зеркало для нового avz будет на _ftp://172.26.27.127/SoftWare/Антивирусы/AVZ_4.32/Base/

тогда, чтобы произошел переход клиентских машин на обновление с нового зеркала, вносим изменения в скрипт aupd
Подробнее.

и выкладываем его на старое и новое зеркала

теперь, чтобы клиентские машины скачали этот скрипт и архив с новым avz вместе с базами, нужно на зеркале соответствующим образом сформировать файл avzupd.zip
ранее я уже выкладывал здесь скрипт для nnCron, который как раз и выполняет эту функцию
но, как я подозреваю, далеко не все пользуются nnCron-ом, поэтому этот скрипт я переделал в батник

ps:
1. подразумевается, что архив с новой версией avz и базами будет сформирован следующим образом:

2. в принципе точно так же можно обновлять и редактор скриптов, и плугин для бата, если, конечно, они будут изменяться

Возня. Решается элементарно:

Параметры вызова данного скрипта из командной строки AVZ:

Единственное условие выполнения данного скрипта, это то, что планировщик
должен вызывать программу avz.exe с учётом путей к ней.

Более того, там уже с конца апреля лежит nncron193b8.exe 1.9.3.1135. И прекрасно лежит.

Спасибо, об этом я не задумывался. Я ведь говорю - случайно наткнулся. Решил гляныть нет ли более новых скриптов что делаю обычно раз в пару лет.

про запуск через nnCron я отлично знаю и сам этим пользуюсь
только какое это имеет отношение к тому, что я написал?

я написал про то, что вместе с базами можно рассылать и автоматически обновлять сам avz и скрипты к нему
наподобие того, как обновляются исполняемые модули, наример, в dr. web

Читайте также:

  
• Как установить плагин djvu
  
• Основной элемент компьютера с помощью которого обрабатывается информация
  
• Как установить тор на айфон
  
• Autodesk architecture engineering construction collection это
  
• Amd pci ide controller что это