форум webanet

AVZ антивирусная диагностика, лечение и исследование

worldname — Sat, 20 May 2017 15:44:03 GMT

AVZ

Эта небольшая, но очень многофункциональная утилита просто обязана быть у каждого пользователя Windows

Помимо функций обнаружения и удаления SpyWare, AdWare, Dialer (Trojan.Dialer), Троянских программ, BackDoor модулей, Сетевых и почтовых червей, TrojanSpy, TrojanDownloader, TrojanDropper утилита имеет на борту множество полезных сервисов для полного и глубокого исследования системы.
Инсталляции программа не требует и работает с любых съемных носителей

Настройки AVZ

Область поиска.Вот так вот выглядит окно настроек исследования системы на присутствие вирусов. Это обыкновенное сканирование и общая диагностика. В нижнем окошечке будут приведены результаты сканирования системы.
Но перед началом сканирования на вирусы необходимо выполнить обновление баз программы. Для выполнения обновления баз необходимо выполнить пункт меню "Файл/Обновление баз". По умолчанию для обращения в Интернет применяются настройки, заданные в Internet Explorer. Однако в ряде случаев (например, если не для работы с Интернет применяется IE или он не настроен) требуется вручную задать настройку обмена с Интернет. Для этого необходимо нажать кнопку в правой части поля "Настройки", что приведет к выводу окна настройки, Лучше всего выбрать прямое соединение с интернет

Типы файлов Настройки типы файлов для простого сканирования должны выглядеть так

Параметры поиска Настройки вкладки параметры поиска должны выглядеть так

Эвристический режим лучше всего оставить в положении Средний уровень это самый оптимальный режим. При более высоком уровне режима эвристики и расширенном анализе вы можете столкнуться с фолсами, то есть с ложными тревогами. Применять расширенный анализ нужно только при подозрениях на RootKit и Hijacker

Примечания к работе с утилитой

На зараженных системах антивирусная утилита AVZ может не запуститься вообще. Связанно это с деятельностью вредоносного ПО, которое присутствует в системе и блокирует активность всех антивирусов и других антивирусных утилит. Для того чтобы AVZ запустилась на зараженной системе исполняемый файл программы нужно переименовать. По умолчанию он выглядит так и имеет свое имя собственное AVZ. Ваша задача переименовать AVZ например в WURYEgame и сохранить. С измененным названием утилита запускается в 99% случаев.

Перед началом сканирования вы должны отключить восстановление системы. Это делается из-за того, что поголовное большинство вредоносных программ используют эту функцию и для своего восстановления тоже и если последняя рабочая версия системы из которой будет произведено восстановление будет заражена, то ваше лечение вы проводили зря и напрасно.
Далее нужно отключиться от интернета, закрыть все программы и приложения, отключить защиту на компьютере (то есть отключить антивирус и фаерволл) Отключение антивируса производится для предотвращения конфликта драйверов утилиты и антивируса, а так же для сокращения времени сканирования.

По результатам сканирования иногда может потребоваться перезагрузка компьютера

Инструменты исследования системы

Во вкладке СЕРВИС вы найдете все инструменты для исследования системы

Например вы запустили менеджер автозапуска, после сканирования вы получите список позиций. Если вы не разбираетесь совсем в том, что получили, вы можете ориентироваться по цветам

Зеленый - это здоровый и неопасный объект
Черный или бесцветный - это неопределенный объект с низкой степенью опасности
Красный - понятно, что красный это подозрительный и опасный объект
Вы можете щёлкнуть правой кнопкой мыши по любому объекту из списка и получить меню в котором будет предложение копировать объект в карантин или открыть редактор реестра. Также будут ссылки на поиск нужного объекта в интернете

Описание программы на сайте производителя описание версии программы

Скачать AVZ прямая ссылка на скачивание с сайта производителя программы

Автозапуск исследование

worldname — Wed, 11 Mar 2015 10:18:26 GMT

AutoRuns от Sysinternals

Это бесплатная, но довольно мощная утилита для исследования всех приложений настроенных на автозапуск в системе, а так же всех процессов в автозапуске. При запуске программа покажет все запускаемые с системой приложения.
Утилита настроена на особое и тщательное исследование приложений без цифровой подписи Microsoft. Программа позволяет отслеживать все процессы, все родительские приложения, исследование связанных драйверов и библиотек. Так же программа является мощным средством управления и редактирования. Подвергает анализу множество ключей реестра, управляющих автозапуском, отображает список служб, модулей расширения проводника, BHO и панели Internet Explorer, назначенные задания. С помощью программы можно временно удалить любую библиотеку или программу из автозагрузки, что позволяет на время отключить запуск подозрительных программ и библиотек. Так же можно с помощью AutoRuns полностью удалить любую программу из автозагрузки

Программа не требует инсталляции и запускается сразу с ярлыка

Приложение работает на всех версиях Windows 32 и 64-bit Edition

Страница программы: AutoRuns

Скачать AutoRunsс сайта производителя: Скачать AutoRuns

Процессы Windows исследование

worldname — Wed, 11 Mar 2015 10:18:07 GMT

Process Explorer от Sysinternals

Все наверное знают про диспетчер задач, так же все знают, что с его помощью можно посмотреть список запущенных приложений и процессов. Это всем известный, но очень примитивный инструмент

Process Explorer в отличии от диспетчера задач способен вам рассказать в очень подробной форме не только про все запущенные приложения и процессы, но и показать все связи запущенного приложения или процесса. Выдает информацию включающаю данные о потоках, прослушиваемых портах TCP/UDP, параметрах безопасности, переменных окружения.
Так же это очень мощный инструмент правки. С помощью Process Explorer можно приостановить процесс, перезапустить его, удалить, удалить всё дерево процессов и так далее.
Очень часто те процессы, которые невозможно было удалить через стандартный диспетчер задач, можно удалить с помощью Process Explorer, так как только с помощью его можно добраться до любого элемента поддерживающего или запускающего процесс
Программа не требует инсталляции, запускается с ярлыка

Работает на всех версиях Windows 32 и 64-bit Edition

Страница программы: Process Explorer

Скачать Process Explorer с сайта производителя : Скачать Process Explorer

Антируткит от Kaspersky TDSSKiller

worldname — Wed, 11 Mar 2015 10:17:45 GMT

TDSSKiller эффективная утилита по обнаружению и борьбе с руткитами Rootkit с буткитами Bootkit

Что такое руткит Rootkit и с чем его едят можно почитать тут RootKit - принципы и механизмы работы - RootKit - /publ/11-1-0-71

Что такое буткит Bootkit - Это вредонос, который заражает загрузочную запись (MBR) накопительных устройств. Любое устройство которое заражено буткитом будет загружаться под его тщательным контролем. Зараженный сектор до загрузки операционной системы может инициировать загрузку собственного драйвера и осуществить полный перехват прав в системе с полным перехватом системных функций, после установки драйверов или загрузки в память собственных библиотек он передает управление оригинальному коду загрузчика системы, но система уже загружается под контролем вредоноса. Яркими примерами заражения могут стать популярные в наше время WinLocker-ы /forum/25-136-1 особенно показательны случаи полной блокировки системы особенно когда блокировщик появляется до загрузки системы

TDSSKiller по заверениям Лаборатории Касперского успешно борется с Rootkit и с Bootkit. В описанном случае блокировщика утилиту придется все же запускать с LiveCD в случае, если система полностью парализована. В остальных случаях скачиваем, распаковываем и просто запускаем, ждем окончания сканирования и перезагружаемся

Даже в смысле диагностики и профилактики полезно, так как утилита хорошо отыскивает скрытые процессы

Страничка программы на сайте производителя Утилита TDSSKiller для борьбы с руткитами

Скачать TDSSKiller с сайта производителя