挑战SRENG，更具人性化的辅助工具AVZ-AVT【1月29更新完毕，在2楼】

显示全部楼层 · 发表于 2009-1-1 15:52:21

  此贴作为梦幻献给辅助工具区的新年大礼，希望大家多多支持

  希望大家到时投票，多多支持啊

  本帖工具下载地址：【支持中文系统中文路径，原版英文】
   avz4.part1.rar (1.95 MB, 下载次数: 1052)

2009-1-1 18:43 上传
点击文件名下载附件
阅读权限: 1
   avz4.part2.rar (1.95 MB, 下载次数: 1021)

2009-1-1 18:43 上传
点击文件名下载附件
阅读权限: 1
   avz4.part3.rar (324.85 KB, 下载次数: 840)

2009-1-1 18:43 上传
点击文件名下载附件
阅读权限: 1


  效果图：[自曝美化效果]


  顺便秀一下美化的XP【自己修改的Explorer.exe和Shell32.dll】

浏览本帖目录：

第一个引用为简介【附加翻译】和部分功能介绍
第二个引用为原创脚本及导入教程
第三个引用为最后总结
第四个引用为杀毒测试【启发引擎】

简介：
俄文版：
Антивирусная утилита AVZ предназначена для обнаружения и удаления:

SpyWare и AdWare модулей - это основное назначение утилиты
Dialer (Trojan.Dialer)
Троянских программ
BackDoor модулей
Сетевых и почтовых червей
TrojanSpy, TrojanDownloader, TrojanDropper
Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.

中文版：

卡巴斯基工程师奥列 · 扎伊采夫（奥列格是名，扎伊采夫是姓，扎伊采夫在俄语里是兔子的意思）自己编写了一个集病毒扫描、反Rootkit、系统诊断、系统修复等众多功能于一身的安全软件AVZ Antiviral Toolkit（此软件现已属于卡巴斯基实验室）。此软件功能强大，怎奈只有英俄两种语言的版本，且宣传甚少，一直未被广大的中国用户所认识.
AVZ可以清除以下类型的恶意程序：
1. 间谍软件与广告软件 - 这是AVZ的首要任务。
2. 恶意拨号程序
3. 特洛伊木马程序
4. 后门程序
5. 网络与电子邮件蠕虫
6. 下载者
此外它还有以下功能和特性：
1. 启发式的系统检查。
2. 白名单文件库。
3. Rootkit检测。
4. Keylogger与木马Dll检测。
5. Winsock SPI/LSP分析。
6. 进程、服务、驱动管理器。
7. 文件搜索，可以搜索用Rootkit技术隐藏的文件。
8. TCP/UDP分析。
9. 网络资源分析。
10. 下载文件分析。
11. 系统修复。
12. 压缩包文件检查，目前支持ZIP、RAR、CAB、GZIP、TAR，另外还支持电子邮件的MHT格式，再有就是CHM格式。
13. NTFS流检查。
14. 脚本管理。用户可以自编脚本是AVZ的一大特色。依靠脚本，您可以自己写专杀、修复系统。怎么样，很期待吧？
15. 进程分析。
16. AVZGuard系统，这个是用来对付极难清除的恶意程序的，它可以反病毒软件实施保护。
17. 直接访问磁盘。支持FAT16/FAT32/NTFS，可以用来对付被占用而无法删除的文件。
18. 进程监视驱动与AVZPM驱动。
19. BootCleaner驱动

进入正题：

主界面：

附加的人性化工具【附翻译】

部分设置【附翻译】

主要功能【附部分翻译】

进程查看器【绿色为可信进程】

服务与驱动查看器【绿色为信任服务】

核心文件查看器

可疑DLL检查器【后边有可疑度】

自动运行管理

IE【BHO】插件管理

CPL管理

其他组件大家可以自行体验，在这里不在过多敖述：）

脚本篇【原创】

这个是AVZ最具特色的功能之一，可以凭借此来编写自己的脚本，从而来修复电脑系统。下面我就为大家提供一个我编写的通用脚本。

运行此脚本后您将获得以下功能：
执行后功能如下：
1、关闭服务
包括Terminal Service,Net Meeting Remote Desktop Sharing,Remote Desktop Help Session Manager,Windows Time,RemoteRegistry,SSDPSRV,ShellHWDetection
2、关闭危险动作
CDROM autorun、关闭管理共享权限、关闭匿名用户访问、关闭发送远程协助请求
3、安全提升
开启AVZGUARD防御（存在兼容性问题，内测版删除）
删除文件后执行清除
开启引导删除
清除HOSTS（恢复默认状态）
以下为重点更新：
1、清除随机文件名的弹窗程序。[不是按照文件名查杀]
2、修复安全模式
3、恢复文件夹选项
4、恢复注册表编辑器、任务管理器
5、清除恶意广告程序
6、Windows性能优化
7、恢复一些经常被恶意程序修改的注册表键值

具体脚本如下：

begin

RegKeyIntParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\System', 'DisableRegistryTools', 0);
RegKeyIntParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\System', 'DisableTaskmgr', 0);

end.
begin

// 文件夹选项恢复默认
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden', 'Text', '@shell32.dll,-30499');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden', 'Type', 'group');
RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden', 'Bitmap', 'REG_EXPAND_SZ', '%SystemRoot%\system32\SHELL32.dll,4');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden', 'HelpID', 'shell.hlp#51131');

RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN',
'RegPath',
'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced'
);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN',
'Text',
'@shell32.dll,-30501'
);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN',
'Type',
'radio'
);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN',
'Checked',
2
);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN',
'Name',
'Hidden'
);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN',
'Default',
2
);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN',
'HKeyRoot',
80000001
);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN',
'HelpID',
'shell.hlp#51104'
);

RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL',
'RegPath',
'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced'
);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL',
'Text',
'@shell32.dll,-30500'
);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL',
'Type',
'radio'
);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL',
'Checked',
1
);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL',
'Name',
'Hidden'
);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL',
'Default',
2
);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL',
'HKeyRoot',
80000001
);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL',
'HelpID',
'shell.hlp#51105'
);
// 恢复默认隐藏受保护的系统文件
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden',
'Checkedvalue',
1
);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE',
'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden',
'DefaultValue',
1
);

end.
begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot', 'AlternateShell', 'cmd.exe');
RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys', '', 'FSFilter System Recovery');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}', '', 'Universal Serial Bus controllers');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}', '', 'CD-ROM Drive');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}', '', 'DiskDrive');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}', '', 'Standard floppy disk controller');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}', '', 'Hdc');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}', '', 'Keyboard');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}', '', 'Mouse');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}', '', 'PCMCIA Adapters');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}', '', 'SCSIAdapter');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}', '', 'System');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}', '', 'Floppy disk drive');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}', '', 'Volume');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}', '', 'Human Interface Devices');
RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt', '', '');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts', '', '');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys', '', 'FSFilter System Recovery');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI', '', 'Driver Group');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys', '', 'Driver');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC', '', 'Service');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}', '', 'Universal Serial Bus controllers');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}', '', 'CD-ROM Drive');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}', '', 'DiskDrive');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}', '', 'Standard floppy disk controller');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}', '', 'Hdc');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}', '', 'Keyboard');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}', '', 'Mouse');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}', '', 'Net');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}', '', 'NetClient');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}', '', 'NetService');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}', '', 'NetTrans');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}', '', 'PCMCIA Adapters');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}', '', 'SCSIAdapter');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}', '', 'System');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}', '', 'Floppy disk drive');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}', '', 'Volume');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}', '', 'Human Interface Devices');
end.
begin
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ShellHWDetection','Start', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SSDPSRV','Start', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\W32Time','Start', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\RemoteRegistry','Start', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('TermService', 4);
SetServiceStart('W32Time', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('ShellHWDetection', 4);
end.
// 添加日志
Procedure AddAlarm(AFileName, AMsg : string);
begin
AddtoLog('>>>>> '+AFileName+' 被以下病毒感染 '+AMsg);
end;

// 扫描文件
Procedure ScanFile(AFileName : string);
begin
SetStatusBarText(AFileName);
// 将文件载入缓冲区
LoadFileToBuffer(AFileName);
// 看文件偏移21080处的代码是不是符合特征码
if SearchSign('81 7D 08 8C 00 00 00 59 75 16 6A 50 FF 15 6C 70 40 00 57 57 56 FF 75 0C 57 57 FF 15 B0 73 40 00', 21080, 33) >= 0 then
begin
// 如果SearchSign函数的返回值大于0，说明特征匹配成功
AddAlarm(AFileName, '弹窗广告程序');
DeleteFile(AFileName);
end;
if SearchSign('85 F6 59 59 74 1D 56 68 FF 7F 00 00 6A 01 68 E8 41 40 00 FF 15 74 32 40 00 56 FF 15 6C 32 40 00', 7051, 33) >= 0 then
begin
AddAlarm(AFileName, '弹窗广告程序');
DeleteFile(AFileName);
end;
FreeBuffer;
end;

// 扫描目录 (递归扫描子目录)
Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
var
FS : TFileSearch;
begin
ADirName := NormalDir(ADirName);
FS := TFileSearch.Create(nil);
FS.FindFirst(ADirName + '*.*');
while FS.Found do begin
if FS.IsDir then begin
if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
ScanDir(ADirName + FS.FileName, AScanSubDir)
end else
ScanFile(ADirName + FS.FileName);
FS.FindNext;
end;
FS.Free;
end;

begin
//Automatically correct SPI errors
AutoFixSPI;
//Clear Hosts file
ClearHostsFile;
end.

begin

// 扫描Windows文件夹
ScanDir('%WinDir%', true);

// 导入删除文件列表，这样所有用DeleteFile删除的文件都会用BootCleaner再删除一遍。
BC_ImportDeletedList;

// 删除所有引用病毒文件的启动项
ExecuteSysClean;

// 激活BootCleaner
BC_Activate;

// 重新启动
RebootWindows(true);

end.

导入教程：

总结：

  虽然此款工具已经被卡巴斯基收购，但是一直在不断更新，在新出的4.3版本中，增加了更多层的保护及清理。包括我没有介绍到的AVZGUARD【一个可以防止新进程访问的底层防护】。此款工具同样可以提供SRENG类的系统日志，而多出了脚本修复。而这个功能可以让一些高手编写脚本，辅助用户修复电脑。仅仅只需导入脚本，电脑将会恢复到正常水平。这对于菜鸟来说是一个非常便利的功能。

  PS：如果您希望与我一同编写AVZ脚本，欢迎PM我。

  PS2：转载请注明作者及出处，谢谢。

  PS3：此款工具的官方信息

病毒库日期为：2008年12月17日

Files scanned: 59, extracted from archives: 1, malicious software found 9, suspicions - 16
Scanning finished at 2009-1-1 18:25:21
Time of scanning: 00:00:24

用昨天的Kafan Virlist作为检测，成绩为42.37%

[quote]F:\Kafan_Virlist[2008.12.31]\081231-3-6.exe >>>>> Worm.Win32.AutoRun.wbj deleted successfully
F:\Kafan_Virlist[2008.12.31]\081231-4-3.exe >>> suspicion for Trojan-GameThief.Win32.OnLineGames.ubga ( 0E6A93EF 0E232B1D 00281FB4 00272847 22031)
F:\Kafan_Virlist[2008.12.31]\081231-4-8.exe >>> suspicion for Trojan-Spy.Win32.Agent.glu ( 0A6F5539 0704B4DA 00241648 001CB734 54925)
F:\Kafan_Virlist[2008.12.31]\081231-5-1.exe >>> suspicion for Trojan-GameThief.Win32.Magania.gen ( 0DDE44CA 0DF1922A 002A1F92 00255524 18245)
F:\Kafan_Virlist[2008.12.31]\081231-A-10.exe >>> suspicion for Trojan-GameThief.Win32.Magania.gen ( 0DDEB3C1 0DDEED59 0024A553 00233EBD 17945)
F:\Kafan_Virlist[2008.12.31]\081231-A-11.exe >>> suspicion for Trojan-GameThief.Win32.OnLineGames.ubga ( 0E686F29 0DDFF130 00281FB4 0025F8F8 20722)
F:\Kafan_Virlist[2008.12.31]\081231-A-13.exe >>> suspicion for Trojan-Downloader.Win32.Agent.asxl ( 0A3D5DA7 089D7A84 00247B9E 001FA35C 30208)
F:\Kafan_Virlist[2008.12.31]\081231-A-14.exe >>> suspicion for Trojan-Downloader.Win32.Agent.asxl ( 0A3D5DA7 089D7A84 00247B9E 001FA35C 30208)
F:\Kafan_Virlist[2008.12.31]\081231-A-15.exe >>> suspicion for Trojan-Downloader.Win32.Agent.asxl ( 0A3D5DA7 089D7A84 00247B9E 001FA35C 30208)
F:\Kafan_Virlist[2008.12.31]\081231-A-16.exe >>> suspicion for Trojan-Downloader.Win32.Agent.asxl ( 0A3D5DA7 089D7A84 00247B9E 001FA35C 30208)
F:\Kafan_Virlist[2008.12.31]\081231-A-17.exe/{EXE-Joiner}/.exe >>> suspicion for Trojan-Downloader.Win32.Small.agdm ( 07E27A59 03F55B00 0036CFDC 00073B87 12337)
F:\Kafan_Virlist[2008.12.31]\081231-A-3.exe >>>>> AdvWare.Win32.BHO.etk deleted successfully
F:\Kafan_Virlist[2008.12.31]\081231-A-30.exe >>> suspicion for Backdoor.Win32.Small.hay ( 0F6246B4 0E25772D 0025339D 0026A6FD 21504)
F:\Kafan_Virlist[2008.12.31]\081231-A-32.exe >>>>> Trojan.Win32.Agent.ahzz deleted successfully
F:\Kafan_Virlist[2008.12.31]\081231-A-34.exe >>>>> Trojan.Win32.Agent.ahzz deleted successfully
F:\Kafan_Virlist[2008.12.31]\081231-A-35.exe >>>>> Trojan-GameThief.Win32.Magania.gen deleted successfully
F:\Kafan_Virlist[2008.12.31]\081231-A-37.exe >>>>> Trojan-Dropper.Win32.Small.ceg deleted successfully
F:\Kafan_Virlist[2008.12.31]\081231-A-38.exe >>>>> Trojan-Downloader.Win32.Agent.axnb deleted successfully
F:\Kafan_Virlist[2008.12.31]\081231-A-39.exe >>> suspicion for Trojan-GameThief.Win32.Magania.gen ( 0DDEB3C1 0DE52534 0024A553 00233EBD 17945)
F:\Kafan_Virlist[2008.12.31]\081231-A-4.exe >>>>> AdvWare.Win32.BHO.etk deleted successfully
F:\Kafan_Virlist[2008.12.31]\081231-A-41.exe >>> suspicion for Trojan-GameThief.Win32.OnLineGames.ubga ( 0E66A249 0E0B24F8 00281FB4 0025C8CC 22523)
F:\Kafan_Virlist[2008.12.31]\081231-A-43.exe >>> suspicion for Trojan-GameThief.Win32.Magania.gen ( 0DDA6D21 0DC61932 0026FEF2 0028129A 17861)
F:\Kafan_Virlist[2008.12.31]\081231-A-46.exe >>> suspicion for Trojan-GameThief.Win32.OnLineGames.ttgu ( 0E32D802 0CBFA619 0025A47A 000F36E6 22407)
F:\Kafan_Virlist[2008.12.31]\081231-A-5.exe >>>>> AdvWare.Win32.BHO.etk deleted successfully
F:\Kafan_Virlist[2008.12.31]\081231-A-9.exe >>> suspicion for Trojan-GameThief.Win32.Magania.gen ( 0DDFB861 0E2C045C 0027DF3F 00276A85 17965)
Removing traces of deleted files...

强悍的以特征码分析作为可疑依据【测试前均以脱壳，并且前后结果一样】

可疑组件分析
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wblind.dll --> Suspicion for Keylogger or Trojan DLL
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wblind.dll>>> Behavioural analysis
  1. Reacts to events: keyboard, mouse
  2. Sends data to process: 1928 C:\Documents and Settings\Administrator\桌面\avz4\avz.exe (window = "AVZ Antiviral Toolkit log; AVZ version is 4.30
  3. Scanning started at 2009-1-1 18:24:58
  4. Database loaded: signatures - 203656, NN profile(s) - 2, microprograms of healing - 56, signature database released 31.12.2008 21:33
  5. Heuristic microprograms loaded: 3")
  6. Polls keys' state
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wblind.dll>>> Neural net: file with probability 0.46% like a typical keyboard/mouse events interceptor
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SPX\engine.dll --> Suspicion for Keylogger or Trojan DLL
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SPX\engine.dll>>> Behavioural analysis
  1. Reacts to events: keyboard, mouse
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SPX\engine.dll>>> Neural net: file with probability 99.71% like a typical keyboard/mouse events interceptor

成绩虽然不是很高，但是作为病毒库不经常更新的AVZ来说，这个成绩已经很不错了。

[ 本帖最后由 syfwxmh 于 2009-1-29 19:35 编辑 ]

显示全部楼层 · 发表于 2009-1-1 16:45:25

1月29日更新
AVZ脚本教程第一期

AVZ简单自带的修复模式

这显然满足不了我们的需求，同时也显示不出此款文件的强大：）所以今天我们来学习一些简单的语句：）

注册表操作函数：
function RegKeyExists(ARoot, AName : string) : boolean;
返回true，如果在ARoot主键下存在注册表键AName，否则返回false。
示例：

if RegKeyExists('HKLM', 'Software\Gator') then
AddToLog('Registry key found.');
end.

procedure RegKeyDel(ARoot, AName : string);
删除指定的注册表键。AName - 表键名，ARoot - 主键名。

procedure RegKeyCreate(ARoot, AName : string);
创建指定的注册表键。AName - 表键名，ARoot - 主键名。

function RegKeyParamExists(ARoot, AName, AParam : string) : boolean;
返回TRUE，如果表键AName下有键值AParam。

procedure RegKeyParamDel(ARoot, AName, AParam : string);
删除主键ARoot下表键AName下的键值AParam

function RegKeyStrParamRead(ARoot, AName, AParam : string) : string;
读取主键ARoot下表键AName下的键值AParam的字符串数据。

RegKeyStrParamWriteRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SSDPSRV','Start', 4);
以这句为例我们做个分析

RegKeyStrParamWrite的意思就是往注册表中写入键值
HKEY_LOCAL_MACHINE是注册表的一个键值，这个应该大家都知道：）
System对应的是系统键值，主键值和复件值中要用','断开，如例子所示。
但是这里需要说明的是要把主干看成一个键值
后面的分支看成键值。
其中的SSDPSRV对应着服务：）
如图：

Start代表着启动类型

而4代表禁用。

相应的数值还有123，分别对应着如下意思：）
1是系统 2是自动 3是手动 4是禁用

当然光有这个键值是无法起到关闭作用的。我们还需要另外一个语句就是
SetServiceStart('SSDPSRV', 4);
这个就是设定服务启动类型为什么

那么完整的语句就可以很容易得出。

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SSDPSRV','Start', 4);
SetServiceStart('SSDPSRV', 4);
end.

我们来用AVZ来检测一下语句是否正确

好啦，正确无误，这样你可以为拥有卡巴的菜鸟大显一番：）

其实说道AVZ我们还应该看到卡巴2009的AVZ的使用：）

傻瓜AVZ脚本

我们只要采用点击一下鼠标左键，脚本就会自动生成好：）当然这份报告的内容远远不止这些。

有兴趣的会员可以自己下载卡巴或者卡巴绿色版，来尝试一下，虽然AVZ的部分功能遭到庵割，但是最为精华的被传承并发扬光大

今天就说到这里了，下次更新将会继续我们的AVZ脚本之旅：）
下期更新我们将会着重说清除病毒的脚本和利用AVZ来为菜鸟修复系统：）

[ 本帖最后由 syfwxmh 于 2009-1-29 19:33 编辑 ]

显示全部楼层 · 发表于 2009-1-1 16:48:02

支持下见面很简洁吖...

显示全部楼层 · 发表于 2009-1-1 16:49:32

O(∩_∩)O谢谢syfwxmh的新年大礼

显示全部楼层 · 发表于 2009-1-1 16:51:52

支持下好大的礼包啊

显示全部楼层 · 发表于 2009-1-1 16:53:40

关闭服务可以再多加些不必要的功能的说....

显示全部楼层 · 发表于 2009-1-1 16:53:51

如果有必要，我會不定期更新

显示全部楼层 · 发表于 2009-1-1 16:54:21

能否提供一下具體的服務名稱呢？

显示全部楼层 · 发表于 2009-1-1 16:57:13

alert
background

等等 ...

你这么说我倒觉得还是不要了
能关的太多
有些笔记本需要
........有些什么什么的

毕竟每个人需求不一样

[ 本帖最后由秘书于 2009-1-1 16:58 编辑 ]

显示全部楼层 · 发表于 2009-1-1 16:59:17

确实，我在编辑的时候也考虑到了你说的这个服务，但是考虑到这个服务并不是特别危险，所以去掉了。

现在脚本里边有的都是比较危险或者普通用户用不到的一些服务

挑战SRENG，更具人性化的辅助工具AVZ-AVT【1月29更新完毕，在2楼】

评分

评分

回覆樓上各位

回复 6楼秘书的帖子

回复 8楼 syfwxmh 的帖子

评分

回复 9楼秘书的帖子

挑战SRENG，更具人性化的辅助工具AVZ-AVT【1月29更新完毕，在2楼】

评分

评分

回覆樓上各位

回复 6楼 秘书 的帖子

回复 8楼 syfwxmh 的帖子

评分

回复 9楼 秘书 的帖子

回复 6楼秘书的帖子

回复 9楼秘书的帖子