В статье "антивирусный боекомплект" я коротко упомянул об антивирусной программе AVZ Олега Зайцева. На самом деле эта программа заслуживает большего, чем два коротких абзаца. Есть такое популярная фраза "швейцарский нож" - универсальный складной ножик, вилка, штопор, ножницы, бур, саперная лопата.. ;) Так вот, по своим возможностям AVZ - самый настоящий швейцарский нож, а не какая-нибудь дешевая китайская подделка.

Основная задача современного антивируса - выявить и прибить вирус до того, как он успел активироваться и начал вредить. AVZ - немного другая программа. Это не антивирус, а инструмент для решения проблем, для лечения уже зараженного компьютера.

Интерфейс программы немного напомнает DrWeb. В главное окно выведено некоторое количество настроек, часть из них даже сгруппирована по закладкам. Но для начала, для того, чтобы просканировать систему и получить какие-то результаты, ничего менять не нужно: просто нажимаем кнопку "Пуск".

Да, забыл сказать об обновлениях. Вирусная база программы постоянно дополняется, поэтому полезно регулярно ее обновлять (конпка с голубыми стрелками справа внизу). Иногда меняется и сама программа, в этом случае выводится предупреждение о необходимости загрузить новую версию программы полностью.

Продолжим. Настройки не меняли, запустили сканирование системы, которое обычно занимает 1-2 минуты. Результаты выводятся в виде текстового списка, все что программе не понравилось, будет выделено строчками красного цвета.

Но красные записи - это еще не повод кричать "караул", а всего лишь те записи, на которые нужно обратить внимание. Дело в том, что AVZ обязательно отметит антивирус, может отметить некоторые полезные программы. В начале статьи я говорил, что AVZ - это инструмент. А к каждому инструменту полезно немного "прикладывать голову", чтобы получить наилучший результат. Давайте для примера рассмотрим отчет моей системы:

Протокол антивирусной утилиты AVZ версии 4.30
Загружена база: сигнатуры - 224172, нейропрофили - 2, микропрограммы лечения - 56, база от 21.05.2009 00:00

Не устарела ли база данных? Возможно, пора обновиться.

Режим эвристического анализатора: Средний уровень эвристики
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора

Обратите внимание: полноценно программа будет работать только в том случае, если запущена с правами администратора. В этом случае AVZ временно установит в систему собственный драйвер уровня ядра для поиска руткитов и другой гадости, которая для обычных программ просто невидима.

Функция NtClose (19) перехвачена, перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена, перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена, перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный

Первые 13 красных записей в логе (в статье я оставил три, для краткости). Это драйвер антивируса Avast. Некоторое время назад AVZ просто сообщал о подозрительном драйвере, который внедрился в систему. Но в новых версиях информация об Avast добавлена в AVZ, поэтому в отчете и написано "опознан как безопасный.

\FileSystem\ntfs[IRP_MJ_CREATE] = 86FD01E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FD01E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 86C44790 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 86C44790 -> перехватчик не определен

Еще аж 30 красных записей (оставил 4), AVZ сообщает, что перехвачена куча системных функций для работы с файлами. Вообще, похоже на файловый вирус и вначале я пытался выяснить, что это за зараза. Выяснил: Alcohol120%, известная программа виртуального CD-ROM. :) Ему для работы нужно перехватывать функции файлового ввода-вывода.

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\LGMOUSHK.dll --> Подозрение на Keylogger или троянскую DLL
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\LGMOUSHK.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\LGMOUSHK.dll>>> Нейросеть: файл с вероятностью 99.91% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

Очень правильное замечание AVZ: не торопитесь удалять. В моем случае эта DLL - часть сервисной программы от мышки Logitech, которая сидит в системном трее возле часов.

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: разрешен автоматический вход в систему

Уже не красные, а обычные записи. Автор AVZ обращает ваше внимание на потенциально опасные системные службы. Но отмечает, что в конкретном случае та или иная служба может быть вполне нужной и важной. Это не повод тут же все перечисленное отключить, а скорее рекомендация, подсказка для тех, кто хочет повысить безопасность своего компьютера.

Ок, сканирование завершено и возможно у вас обнаружены вирусы или просто подозрительные действия. Что делать дальше? Справа внизу есть кнопка "Очки" - действия для выявленных подозрительных объектов. Эта кнопка открывает отдельное окно:

Для того, чтобы что-либо сделать, вначале нужно отметить одну или несколько записей. Повторю, что не нужно удалять все - AVZ не знает обо всех полезных программах, которые существуют в мире и просто выделил потенциально опасные. Выделенные файлы можно скопировать в карантин или удалить. В принципе, действие по кнопке "Удалить" все равно предложит вам сделать копию файлов в карантине. Это разумный вариант, у вас "на потом" останется возможность вернуть на свое место полезный файл.

В меню AVZ на почти каждый пункт "прицеплено" какое-либо полезное действие. Если вы заинтересовались возможностями программы, откройте справку. Она на русском языке и там расписаны и команды меню, и различные самые типичные действия.

Хочу отметить одну команду, "Восстановление системы". Часто вирусы меняют системные настройки. Например, не удается включить показ скрытых файлов. Да, все знают про эту настройку в свойствах Проводника. Но кроме этого есть реестр и групповые политики (policies) - в Windows многие вещи можно сделать разными способами. Чтобы не гадать, где и как именно подгадил вирус, воспользуйтесь AVZ. Автор создал набор команд для восстановления различных системных настроек. Лично меня эта функция не раз выручала:

И еще одна команда, "Стандартные скрипты". В конце сканирования системы выводится сообщение: "Если у вас есть подозрение на наличие вирусов, Вы можете обратиться в конференцию http://virusinfo.info". Отлично, есть куда обратиться! Но на сообщение "У меня ничего не работает, помогите!" телепатически помочь может только доктор Кашпировский. ;) Нужна информация, и эту информацию для конференции соберет скрипт:

Удачи вам в борьбе с вирусами!