Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » AVZ - Anti-SpyWare, Anti-AdWare

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101

Открыть новую тему     Написать ответ в эту тему

BOB



Вечный Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AVZ


Антивирусная утилита AVZ предназначена:
• обнаружение и удаление SpyWare и AdWare, Dialers (Trojan.Dialer), Троянских программ, BackDoors, сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper
• Эвристическая проверка системы
• Обновляемая база безопасных файлов.
• Встроенная система обнаружения Rootkit
• Детектор клавиатурных шпионов (Keylogger) и троянских DLL
• Нейроанализатор
• Встроенный анализатор Winsock SPI/LSP настроек.
• Встроенный диспетчер процессов, сервисов и драйверов.
• Встроенная утилита для поиска файлов на диске.
• Встроенная утилита для поиска данных в реестре.
• Встроенный анализатор открытых портов TCP/UDP.
• Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов.
• Встроенный анализатор Downloaded Program Files (DPF)
• Микропрограммы восстановления системы
• Эвристическое удаление файлов.
• Проверка архивов ZIP, RAR, CAB, GZIP, TAR; EML и MHT файлы; CHM архивы
• Проверка и лечение потоков NTFS.
• Скрипты управления.
• Анализатор процессов.
• Встроенный механизм обновления антивирусных баз. (меню "Файл")
• Система AVZGuard.
• Система прямого доступа к диску для работы с заблокированными файлами.
• Драйвер мониторинга процессов и драйверов AVZPM.
• Драйвер Boot Cleaner.
Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode.



Последняя полная версия антивирусной утилиты AVZ 5.XX. (Обновляется вручную регулярно, но с задержкой. Без задержек всегда актуальная, внутри AutoLogger-а - обновляется ежедневно).
Для тех. поддержки ЛК урезанная версия утилиты AVZ 5.50.
Последний полиморфный AVZ. (Перезаливаю вручную примерно раз в месяц).
В этой версии появились новые возможности по восстановлению системы, добавлена эвристика для обнаружения вредоносных заданий планировщика, и ряд других улучшений...
 
Для пополнения базы чистых создана специальная автономная система - http://virusinfo.info/content.php?r=123-page-cyberhelper (передать файлы в систему для устранения ложных срабатываний и пополнения базы чистых можно через форму на данном форуме http://virusinfo.info/content.php?r=125-page-uploadclean (инструкция и результаты загрузки - http://virusinfo.info/showthread.php?t=3519, для загрузки файлов не требуется регистрация), сервисы на VI не работают. Можете воспользоваться:
Также для пополнения базы файлов AVZ можно воспользоваться этой инструкцией, в том числе если архив по размеру не проходит через форму выше.
AVZ 4.46
Плагин для The BAT (386 Kб) (не обновился)
Редактор скриптов (811 Kб) | Зеркало (для скачивания нужна регистрация).
Базы AVZ 4 (архив обновляется два раза в сутки)
зеркало AVZ4: AVZ | Ежедневное обновление баз

Всего записей: 1359 | Зарегистр. 09-08-2001 | Отправлено: 14:58 06-11-2004 | Исправлено: shrmn, 23:54 20-06-2022
SandraRich



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_Zaitsev

Цитата:
wl_hook.dll не опасен, но он внедряется во все процессы - что и фиксируется в протоколе.  

То есть, в Фаерволе, который предназначен для защиты системы, в том числе и от вредоносных внедрений, находятся и внедряются кейлогеры и т.п.? Разве такое возможно?  
Может быть, это один из необходимых компонентов Outpost Firewall, который, по своему назначению, и должен внедряться во все процессы, для комплексной защиты системы?

Всего записей: 291 | Зарегистр. 11-05-2008 | Отправлено: 05:47 24-07-2008 | Исправлено: SandraRich, 05:52 24-07-2008
vv07



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_Zaitsev
Уважаемый Олег!Приветствую вас на форуме.Давно не заглядывали.Вопрос сразу-стр.25 Довольно бурная реакция,пользователей AVZ.И как вы понимаете,далеко не новичков,в его использовании, по срабатыванию,на несколько прог.Я вам отправлял файлы на проверку,но первый раз,за несколько лет,не получил ответа.Хотелось бы,все таки понять,такую непонятную и внезапную реакцию AVZ.

Всего записей: 4021 | Зарегистр. 04-07-2006 | Отправлено: 08:58 24-07-2008
Oleg_Zaitsev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SandraRich

Цитата:
То есть, в Фаерволе, который предназначен для защиты системы, в том числе и от вредоносных внедрений, находятся и внедряются кейлогеры и т.п.? Разве такое возможно?  
Может быть, это один из необходимых компонентов Outpost Firewall, который, по своему назначению, и должен внедряться во все процессы, для комплексной защиты системы?  

Там сообщение - "подозрение на кейлоггер или троянскую DLL", а не констатация факта вредоносности, и плюс в логе чуть ниже пояснение дано по этому поводу. Т.е. понимать это нужно буквально - был запущен аналитический инструмент AVZ, и он обнаружил, что в его адресном пространстве вдруг появилась какая-то левая библиотека (т.е. она не системная, AVZ ее не загружал - а тем не менее она сама как-то залезла). Это факт ? Да, это однозначно установленный факт (равно как например перехваты, автозапуск и т.п.), это аномалия ? да, это аномалия (на чистой системе такого нет) - так данные и отражаются в протоколе. А уже что это за библиотека, от чего она и для чего нужна - судить человеку, изучающему лог. Обычно на virusinfo хелперы карантинят подобные файлы, дабы убедиться, что это скажем компонент Outpost, а не маскирующийся под него злобный троян.  
 
Добавлено:
vv07

Цитата:
Уважаемый Олег!Приветствую вас на форуме.Давно не заглядывали.Вопрос сразу-стр.25 Довольно бурная реакция,пользователей AVZ.И как вы понимаете,далеко не новичков,в его использовании, по срабатыванию,на несколько прог.Я вам отправлял файлы на проверку,но первый раз,за несколько лет,не получил ответа.Хотелось бы,все таки понять,такую непонятную и внезапную реакцию AVZ.

Я просмотрел написанное на указанных страницах, если честно - ничего не понял что-то в чем-то подозревается, кто-то где-то вроде как детектируется, кто и в чем - неясно. Файлы вполне могли просто не дойти - на почтарях почти у всех провайдеров сейчас стоят параноидальные антиспамы, антивирусы, фильтры разные - поэтому нередко письмо просто теряется. Плюс у AVZ более миллиона пользователей - если все напишут по письму, ляжет любая почта (так обычно и бывает ). Выход:
1. положить файлы куда-то на файлопомойку типа rapidshare в запароленном архиве, и отписаться на virusinfo в основном обсуждении AVZ, кратко описав, что, где и как наблюдается и приложив ссылку на архив с семплами
2. Попробовать послать файлы еще раз (как вариант - не файлы, а ссылку на них - аналогично п.п. 1)

Всего записей: 44 | Зарегистр. 02-12-2002 | Отправлено: 09:05 24-07-2008
vv07



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дык не держу я архивы енти.Удалил давно.Суть в том,что AVZ капитально признала троянами
качалку из лисы,lashgot ,одну из библиотек лю.бимейшего фаера NetLimiter2.0.Ну и напоследки,вообще нонсенс,обозвала вирусом Process Explorer 11.13.
И это все,при том,что до обновления,такого не было.В следующий раз залью куда нить,раз некогда отписать,одному из стареший пользователей

Всего записей: 4021 | Зарегистр. 04-07-2006 | Отправлено: 11:58 24-07-2008
Oleg_Zaitsev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vv07

Цитата:
Дык не держу я архивы енти.Удалил давно.Суть в том,что AVZ капитально признала троянами  
качалку из лисы,lashgot ,одну из библиотек лю.бимейшего фаера NetLimiter2.0.Ну и напоследки,вообще нонсенс,обозвала вирусом Process Explorer 11.13.  
И это все,при том,что до обновления,такого не было.В следующий раз залью куда нить,раз некогда отписать,одному из стареший пользователей  

Process Explorer и сейчас детектится эвристикой - он ставит отладчик системного процесса taskmgr - за это его никто не убивает, но в логе это отмечается. NetLimiter2.0 сколько я помню внедряет DLL - она карантинится, но естественно не удаляется. Качалка из лисы была похожа на что-то там вредное, на нее было подозрение файлового сканера (именно подозрение - не детект, файл не убивался автоматом), это было пофиксено.

Всего записей: 44 | Зарегистр. 02-12-2002 | Отправлено: 13:25 24-07-2008
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_Zaitsev
 
Кстати Process Explorer и есть отладчик по принципу своей работы - иначе он не сможет выполнять свои задачи. Я в своём описании у себя на сайте специально это написал. Может это объяснит людям его назначение:

Цитата:
Process Explorer - это мощный и удобный инструмент управления запущенными процессами и задачами, совмещающий в себе функциональность менеджера задач, монитора производительности, отладчика и средства контроля активности ввода - вывода, в том числе и анализатора сетевых процессов. Он полностью заменяет штатный монитор задач системы Windows, предоставляя в Ваши руки уникальный инструмент, позволяющий полностью контролировать поведение системы.

Пока ни кто из наших с Вами коллег против такого определения не возражает.
С FlashGot несколько интереснее - принцип его работы:
 
1) ставим перехватчик stdin/stdout.
2) читаем stdout процесса броузера запустившего FlashGot.
3) если найдены URL содержащие ссылку на закачку, то просмотрев настройки передаём его в менеджер закачки для обработки, иначе URL игнорируем.
 
Анализатор FlashGot.exe меняется часто - с каждой новой версией. Поэтому мне кажется надо связываться с автором и вместе с ним договариваться о добавлении в данный пакет проверочного блока например по SHA-1 защищённого сертификатом VeriSing.  
 
Идея контроля такова - если мы встречаем такой сертификат, то проверяем его подлинность, и если проверка положительная проверяем с его помощью программу. В случае положительной проверки подлинности просто сверяемся с базой безопасных приложений. При наличии приложения в базе считаем его подлинным и безопасным, а при отрицательном результате выдаём сообщение о возможности подделки приложения или его замены неизвестным модулем.
 
Думаю, такое в реализовать принципе возможно, и количество ложных срабатываний любого антивируса при таком механизме мы снизим до минимума.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33134 | Зарегистр. 31-07-2002 | Отправлено: 16:21 24-07-2008
Oleg_Zaitsev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victor_VG

Цитата:
Анализатор FlashGot.exe меняется часто - с каждой новой версией. Поэтому мне кажется надо связываться с автором и вместе с ним договариваться о добавлении в данный пакет проверочного блока например по SHA-1 защищённого сертификатом VeriSing.  

С FlashGot все намного проще было, там не эвритический детект - просто исполняемый файл FlashGot был похож сигнатурно на что-то там вредное, когда это обнаружилось, была подправлена сигнатура, в результате подозрение пропало и больше не появится ...  
Насчет проверки с помощью сертификатов и базы ПО, сертификатам которого мы доверяем - такое вполне реально и примерно подобный механизм есть у KIS-2009. Т.е. он пытается проверить, узнает ли он программу по бортовой базе чистых или есть ли у нее валидный сертификат, которому по мнению ЛК можно доверять. Если есть - приложение считается доверенным. Если нет или файл модифицирован, то тогда эвристически оценивается рейтинг опасности и KIS начинает "думать", насколько по совокупности собранной информации можно доверять программе X и сколь она опасна. Для утилит типа AVZ этот алгортм тяжеловесен, я ограничиваюсь бортовой базой подписей легитимных программ + механизмом ЭЦП Microsoft.

Всего записей: 44 | Зарегистр. 02-12-2002 | Отправлено: 09:16 25-07-2008
CKAHEP



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Это появляется во время начала сканирования

Всего записей: 95 | Зарегистр. 01-11-2001 | Отправлено: 01:33 06-08-2008
redwhiterus



Красно-Белый
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CKAHEP
попробуй или заного распаковать из архива или скачать с сайта еще раз, если я провильно понимаю что-то вмешалось в код...

----------
Sub specie aeternitatis ©
In vino veritas! ©
Чем выше ты, тем легче свалиться

Всего записей: 10075 | Зарегистр. 18-04-2007 | Отправлено: 09:26 06-08-2008
vv07



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Видимо Олег внес исправления.АVZ  перестал ругаться на FlashGot,а вот Process Explorer,по прежнему в подозреваемых.Но для меня главное,что NetLimiter2.0 получил реабилитацию

Всего записей: 4021 | Зарегистр. 04-07-2006 | Отправлено: 10:43 07-08-2008
CKAHEP



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Process Explorer,работая без установки, втихую устанавливает драйвер-перехватчик низкого уровня.Хотя Руссинович в своей книге это пишет.

Всего записей: 95 | Зарегистр. 01-11-2001 | Отправлено: 19:21 11-08-2008
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CKAHEP
 
А как иначе он может исполнять свою работу системного отладчика? Получить ту информацию которую он выводит иначе не возможно.
 
Oleg_Zaitsev
 
Понял. Прикину может ещё что придумаю. Поглядим что можно сделать менее тяжеловесного.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33134 | Зарегистр. 31-07-2002 | Отправлено: 20:16 11-08-2008
andzaytsev

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я тоже Зайцев, только Андрей!
Сори

Всего записей: 419 | Зарегистр. 06-06-2007 | Отправлено: 21:19 11-08-2008
ComradG



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Весьма любопытная вещица. Я тока в документации так и не нащел - может ли она работать параллельно с антивирем какимнить.

Всего записей: 2038 | Зарегистр. 05-07-2008 | Отправлено: 21:37 11-08-2008
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ComradG
 
У меня работает параллельно с McAfee 8.5.0i P6, ClamAV 0.93.1, SAV CE 10.1.7.7000 и вроде никто не конфликтует.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33134 | Зарегистр. 31-07-2002 | Отправлено: 21:42 11-08-2008
Black_Knight_Rostov



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ComradG
Абсолютно спокойно работает параллельно с NOD32.... Да и вообще по идее должен с любым антивирем

----------
Делай что должен, свершится чему суждено

Всего записей: 783 | Зарегистр. 19-02-2006 | Отправлено: 08:13 12-08-2008
Ronin666



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ComradG

Цитата:
может ли она работать параллельно с антивирем какимнить.

У меня стоит Dr.Web - 4.44, проблем нет...

Всего записей: 3343 | Зарегистр. 27-11-2007 | Отправлено: 10:43 12-08-2008
vv07



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AVZ не конфликтует с анвирами.

Всего записей: 4021 | Зарегистр. 04-07-2006 | Отправлено: 11:50 12-08-2008
Oleg_Zaitsev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ComradG

Цитата:
Весьма любопытная вещица. Я тока в документации так и не нащел - может ли она работать параллельно с антивирем какимнить.

Конфликтов быть не должно, но нужно помнить, что:
1. AVZ распаковывает проверяемые архивы и составные объекты (почта, MHT, CHM, некоторые джоинеры, MSI инсталляции) в временную папку. Если в архиве найдется что-то зловредное, то на извлеченные TMP файлы может закричать монитор применяемого антивируса. Это нормально, и AVZ на такое расчитан ... а мониторы нередко настроены так, что не проверяют архивы, дабы тормозов было меньше.  
2. Если включить снятие перехватов, то AVZ может временно отключить перехватчики антивируса - поэтому в логе/алертах и т.п. идет настойчивое предложение немедленно перезагрузиться, и его лучше не игнорировать. По умолчанию нейтрализация перехватов в AVZ не производится
3. AVZ может ругаться на компоненты антивирусов (как на перехватчики, внедренные объекты и т.п.) - это нормально, ничего он им не сделает - максимум в карантин скопирует. AV софт аналогично может реагировать на AVZ - например, проактивка может выдавать запросы о том, что AVZ ставит свои драйвера, обращается к запущенным процессам и т.п. Это столь-же нормально, как и реакция AVZ на AV софт - констатируется факт, выдается алерт ...
4. В случае лечения возможен конфликт на логическом уровне - например из AVZ вручную или скриптом правится скажем некий ключ реестра, а AV софт его агрессивно защищает или восстанавливает. Ничего страшного не будет, но тут уже что называется "кто кого"

Всего записей: 44 | Зарегистр. 02-12-2002 | Отправлено: 13:47 15-08-2008
Victor_VG



Tracker Mod
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oleg_Zaitsev
 
Я бы на всякий случай внёс в документацию эту информацию. По опыта знаю - поток бестолковых вопросов при хорошей документации удаётся сократить с реки до тоненькой струйки. Сам так делал. А для особо тупых плакат формата А0 повесил с надписью "Главный отвечатель" и стрелкой на стопку мануалов. Два дня мои полковники рычали, ругались, аж к генералу ходили, а потом им пришлось шевелить извилинами. И ничего, справились.

----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti

Всего записей: 33134 | Зарегистр. 31-07-2002 | Отправлено: 00:56 16-08-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101

Компьютерный форум Ru.Board » Компьютеры » Программы » AVZ - Anti-SpyWare, Anti-AdWare


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru