AVZ Antiviral Toolkit是实用的防病毒实用程序,用于调查和还原系统的工具,旨在自动或手动搜索并删除SpyWare、AdvWare程序和模块(这是该实用程序的主要目的之一),伪装过程的Rootkit和恶意软件,网络和邮件蠕虫,木马(包括其所有品种,特别是Trojan-PSW,Trojan-Downloader,Trojan-Spy)和Backdoor(用于秘密远程计算机控制的程序),木马拨号程序(Dialer,Trojan.Dialer,Porn-Dialer),键盘记录器和其他可用来跟踪用户的程序。程序的一项特殊功能是能够自定义程序对每种恶意程序类别的反应-例如,您可以设置销毁检测到的病毒和特洛伊木马的模式,但阻止AdWare的删除。另一个功能是许多不基于签名搜索机制的启发式系统检查,这是对RootKit,键盘记录程序以及基于典型TCP / UDP端口的各种后门的搜索。这样的搜索方法可以找到新型的恶意软件。
功能特色
1、程序的目的及其解决的任务
防病毒实用程序AVZ旨在检测和删除:
SpyWare和AdWare模块是该实用程序的主要目的
拨号程序(Trojan.Dialer)
特洛伊木马
后门模块
网络和邮件蠕虫
TrojanSpy,TrojanDownloader,TrojanDropper
2、启发式系统扫描固件。固件通过对注册表,磁盘上和内存中文件的分析,通过间接指示搜索已知的SpyWare和病毒。
3、更新了安全文件数据库。它包括数以万计的系统文件和已知安全过程的文件的数字签名。该基地已连接到所有AVZ系统,并遵循“朋友/敌人”原则-未隔离安全文件,阻止了安全文件的删除和警告消息,数据库由反rootkit,文件搜索系统和各种分析器使用。特别是,内置的进程管理器以彩色突出显示安全的进程和服务;在磁盘上搜索文件可以从搜索中排除已知文件(在磁盘上搜索特洛伊木马程序时非常有用);
4、内置Rootkit检测系统。RootKit搜索无需使用签名基于对基础系统库的研究,以拦截其功能。AVZ不仅可以检测RootKit,还可以在系统级别正确阻止UserMode RootKit及其进程和KernelMode RootKit。RootKit抵消适用于所有AVZ服务功能,因此AVZ扫描程序可以检测到被屏蔽的进程,注册表搜索系统可以“看到”被屏蔽的密钥,等等。反rootkit装有分析器,该分析器检测RootKit掩盖的进程和服务。在我看来,RootKit对抗系统的主要功能之一是其在Win9X中的性能(关于在Win9X平台上缺少RootKit的普遍看法被深深误解-已知有数百种木马,拦截API函数以掩盖它们的存在,扭曲API函数的工作或监视其使用)。另一个功能是KernelMode RootKit,它是一种通用检测和阻止系统,可在Windows NT,Windows 2000 pro / server,XP,XP SP1,XP SP2,Windows 2003 Server,Windows 2003 Server SP1下运行
5、键盘记录器和Trojan DLL检测器。查找Keylogger和Trojan DLL是在系统分析的基础上进行的,无需使用签名数据库,这可以提前可靠地检测未知的Trojan DLL和Keylogger。
6、神经分析仪。AVZ签名分析器包含一个神经仿真器,使您可以使用神经网络来研究可疑文件。当前,在按键记录仪中使用了神经网络。
7、内置分析仪Winsock SPI / LSP设置。允许您分析设置,诊断设置中可能的错误并进行自动处理。自动诊断和处理的可能性对新手用户很有用(LSPFix等实用程序中没有自动处理)。要手动学习SPI / LSP,该程序有一个专门的LSP / SPI设置管理器。Winsock SPI / LSP分析器包含反rootkit;
8、内置的流程,服务和驱动程序管理器。设计用于研究正在运行的进程和已加载的库,正在运行的服务和驱动程序。进程管理器受反rootkit的影响(因此,它“看到”了rootkit掩盖的进程)。流程管理器链接到AVZ安全文件数据库,突出显示了已识别的安全文件和系统文件;
9、内置实用程序,用于在磁盘上查找文件。它使您可以按各种标准搜索文件,搜索系统的功能优于系统搜索的功能。搜索系统的操作受反rootkit的影响(结果是,搜索“看到”被rootkit屏蔽的文件并可以删除它们),过滤器允许从搜索结果中排除AVZ认为安全的文件。搜索结果以文本协议和表格的形式提供,您可以在其中标记一组文件以供以后删除或隔离
10、内置实用程序,用于在注册表中搜索数据。它允许您根据给定的模式搜索键和参数,搜索结果以文本协议的形式和表格的形式提供,您可以在其中标记几个键以进行导出或删除。搜索系统受反rootkit的影响(因此,搜索“看到”被rootkit掩盖的注册表项并可以将其删除)
11、内置分析仪,用于开放的TCP / UDP端口。它受anti-rootkit效果的影响;在Windows XP中,将为每个端口显示使用该端口的过程。分析器依靠已知特洛伊木马/后门程序和已知系统服务的端口更新数据库。搜索特洛伊木马的端口包含在主系统检查算法中-当检测到可疑端口时,协议中会显示警告,指示哪些特洛伊木马倾向于使用此端口
12、内置分析器,用于共享资源,网络会话和通过网络打开的文件。适用于Win9X和Nt / W2K / XP。
13、内置的下载程序文件(DPF)分析器-显示连接到所有AVZ系统的DPF元素。
14、系统恢复固件。固件修复Internet Explorer设置,启动设置以及其他被恶意软件破坏的系统设置。恢复是手动启动的,要恢复的参数由用户指定。
15、启发式文件删除。其实质在于以下事实:如果在处理过程中删除了恶意文件并启用了此选项,则系统将自动检查系统,包括类,BHO,IE和Explorer扩展,所有可用的AVZ类型的自动运行,Winlogon,SPI / LSP等。 ... 找到的所有指向远程文件的链接都将自动清除,并将有关清除内容和清除位置的信息输入日志。为了进行这种清洁,系统处理固件引擎被积极使用。
16、检查档案。从3.60版开始,AVZ支持扫描存档和复合文件。目前,正在检查ZIP,RAR,CAB,GZIP,TAR格式的档案;电子邮件和MHT文件;CHM档案
检查和消毒NTFS流。从版本3.75开始,AVZ中包含检查NTFS流的功能
17、管理脚本。允许管理员编写脚本,以在用户的PC上执行一组指定的操作。脚本允许在企业网络中使用AVZ,包括在系统引导期间启动AVZ。
18、过程分析仪。分析仪使用神经网络和分析固件;以最大启发式级别启用高级分析时,分析仪将打开,并旨在搜索内存中的可疑过程。
19、AVZGuard系统。除AVZ之外,它还旨在抵抗难以删除的恶意程序,它可以保护用户指定的应用程序,例如其他反间谍软件和反病毒程序。
20、直接磁盘访问系统,用于处理锁定的文件。NT系列的所有操作系统均支持FAT16 / FAT32 / NTFS,使扫描程序能够分析锁定的文件并将其隔离。
21、进程监视驱动程序和AVZPM驱动程序。旨在跟踪进程的开始和停止以及加载/卸载驱动程序,以搜索隐蔽的驱动程序,并检测描述DKOM rootkit创建的进程和驱动程序的结构中的损坏。
22、引导清理程序驱动程序。旨在从KernelMode执行系统清理(删除文件,驱动程序和服务,注册表项)。可以在计算机重新启动过程中以及在消毒过程中执行清洁操作。
使用帮助
1、使用程序
在开始使用该程序之前,建议在扫描和消毒期间禁用注册表更改的后台监视和防病毒监视器。此条件是可选的,但如果不遵守,可能会导致扫描持续时间显着增加-几小时而不是几分钟。这样做的原因是,防病毒监视器会在所有打开的文件打开时检查它们。
该程序的主窗口包含所有主控件-主菜单,搜索和处理过程的设置,协议查看窗口和状态行。
“开始”按钮使您可以开始扫描所选的驱动器和目录。
暂停按钮可让您暂时暂停文件扫描。对于可以暂停的操作,此按钮自动解锁。再次按“暂停”按钮可恢复扫描
“停止”按钮允许您随时中断检查过程。
检查期间大多数AVZ接口元素都被阻止。
2、数据库更新
从4.00版开始,可以通过Internet更新AVZ中的数据库。要更新数据库,必须执行“文件/数据库更新”菜单项。可从avz.virusinfo.info或z-oleg.com/secur这两个站点之一进行下载,该站点是自动随机选择的,但是可以手动设置该站点。
数据库更新包含三个操作:
1.下载描述AV数据库当前状态的文件
2.本地计算机基础与说明的比较
3.如果发现差异(由于数据库中出现新文件,更新现有文件或检测到现有文件损坏),则下载并安装必要的文件
如果下载失败,则所有成功下载的文件都保留在Temp文件夹中,并且在您尝试再次更新它们时不会再次下载。
默认情况下,使用Internet Explorer设置配置Internet访问。但是,在某些情况下(例如,如果IE不用于Internet或未配置IE),则需要手动配置Internet交换设置。为此,请单击“设置”字段右侧的按钮,这将弹出设置窗口:
在此窗口中,可以设置以下四种操作模式之一:
•使用Internet Explorer设置。在此模式下,所有交换设置均取自Internet设置
•直接连接到Internet。互联网交流直接进行
•通过不需要授权的代理服务器。与Internet的交换是通过代理服务器进行的,在这种模式下,必须以以下格式指定代理服务器的名称或IP地址:端口,例如my_proxy:3128或192.168.0.1:8080
•通过需要授权的代理服务器。它与以前的模式不同之处在于代理服务器要求传输名称和密码
开关“记住设置”使您可以保存输入的设置,以便在每次启动AVZ时不进行重新配置。这些设置将保存在AVZ.INI文件中,并在下次启动AVZ时自动加载。
注意:如果在企业网络中使用AVZ,则可以从任何地址和使用管理员指定的任何参数更新数据库。为此,您需要使用包含ExecuteAVUpdateEx命令的脚本
3、延迟删除文件
延迟文件删除是AVZ的内置功能,并且由扫描程序自动应用以删除已知的恶意软件。延迟删除允许您删除正在运行的应用程序文件,已加载的DLL或具有独占访问权限打开的文件。
AVZ分两个阶段执行延迟删除:
1.尝试以通常的方式删除文件。如果此尝试成功并且删除了文件,则不会应用延迟删除。
2.如果步骤1中的文件删除失败,则将文件注册为延迟删除。
使用“文件延迟文件删除”菜单项执行延迟文件删除。执行此菜单项后,将出现一个对话框,用于输入文件名。
单击文件名输入字段右侧的按钮时,可以手动输入文件名,从剪贴板复制文件名或在出现的对话框中选择文件名。输入文件名后,必须单击“确定”将其删除,或单击“取消”按钮以关闭窗口而不删除文件。
如果单击“确定”按钮,将显示一个对话框,其中包含文件删除参数的设置。
支持两种删除模式:
1.正常删除指定的文件(在选择“删除文件”选项时执行)。不建议使用此模式
2.删除文件并启发式清除系统中文件的链接。在这种模式下,除了删除文件之外,它还会自动清除自动运行和许多注册表项,可以在其中注册已删除的文件(Winlogon,CLSID注册,Internet Explorer和Explorer扩展等)。此清除是自动完成的,使删除更正确。
如果启用“将已删除的文件复制到隔离区”复选框,则将在隔离之前在隔离区中创建文件的副本。
