[Resolvido] AVZ Antiviral Toolkit ( avz4 )

[DigRam 144]

Saudações!

 

Publico este Tutorial sobre a ferramenta da Kaspersky,AVZ Antiviral Toolkit,que será de muita utilidade para Analistas ou Usuários Avançados,que se interessem por utilitários. Longe de ser um Tutorial Oficial,busquei expor o que aprendi sobre sua utilização.

PRIMEIRA ETAPA

 

|- Baixe: < avz4en.zip > ( ... by Oleg Zaitsev )

 

|- Link 2: < > ( ... by Oleg Zaitsev )

 

|- Salve-o em Arquivos de programas,e descompacte-o aí mesmo!

|- Abra a pasta avz4 e execute o aplicativo,com um duplo clique. <- Ícone escudo e espada!

|- Conecte-se à Internet,e atualize o Toolkit. -> "File" -> "Database Update". < >

|- Preferencialmente,utilize o navegador Internet Explorer. < >

|- Concluindo,não faça nenhuma verificação. <- Importante!

|- Não marque a caixa "Enable malware removal mode" já que,na máxima heurística,podemos ter remoções indesejadas.

|- Ps: Interessa-nos,apenas,o relatório ( log ),onde possíveis 'fixes' serão realizados por script.

|- Clique no menu "AVZPM" -> "Install extended monitoring driver"

 

 

|- Esse driver terá sua importância na detecção ao rootkit. ( AVZ-RK Kernel Driver )

 

 

|- No menu "Search scope" marque,somente,as caixinhas segundo a imagem.

 

 

|- No menu "File types",marque a caixinha "Exclude files matching the template" e,no campo,digite: *.zip

|- Não marque a caixa "Report clean objects",para o resumo do relatório.

|- Ps: Sua marcação,somente,terá importância no escaneamento de diretórios específicos.

 

 

|- Ajuste o limite de verificação aos arquivos,em 5 Mb.

|- Procure deixar as marcações conforme as imagens.

 

 

|- No menu "Search parameters",ajuste a "Heuristic analysis" em "Maximum heuristics mode".

|- Marque a caixa "Extended analysis". <- Importante!

|- Em "Winsock Service Provider",marque todas as caixinhas.

|- No menu "Automatic actions",não marque a opção: "Enable malware removal mode"

|- Desabilite seu antivírus ou antispyware,para que arquivos do avz não sejam detectados e/ou bloqueados.

|- Feche o navegador,e execute a ferramenta! -> Clique em

|- Concluindo o scan,clique no ícone "Save log",para obtermos o relatório. ( avz_log )

|- Salve-o no desktop!

|- Copie e poste: avz_log.txt <- Relatório!

|- Ps: Imprima estas orientações,para posterior consulta!

 

SEGUNDA ETAPA

 

|- Abra o avz4!

|- À seguir,clique em "File" -> "System Analysis" < >

 

 

|- Em "System areas to be analyzed",deixe as marcações conforme a imagem!

|- Clique em <- Aguarde!

|- Ao concluir envie o arquivo zipado,que foi gerado ( virusinfo_syscheck.zip ),para um Servidor Host. ( filehost )

|- Ps: Indique-nos o endereço,para o download do arquivo.

|- Copie e poste: Link direcionado à virusinfo_syscheck.zip

 

... to be continued.

 

TERCEIRA ETAPA

 

|- Nesta terceira etapa,será enviada/postada informações do que foi quarantinado pela ferramenta.

 

 

|- Esse fato ocorreu ao assinalar a caixa "Copy suspicious files to Quarantine".

|- Alguns desses ficheiros,que estão em quarentena,são legítimos e podem ser restaurados em caso de necessidade.

|- Ps: A ferramenta não sobreescreve pastas/ficheiros,que foram quarantinados em outras ocasiões.

 

 

|- Abra o avz4 --> Clique em "File" --> "Custom scripts".

 

 

|- Rode este script,segundo a screenshot,para acessar-mos o que foi quarantinado.

|- Atente para a unidade ( C ) ou ( D ),que está no script,onde será salvo o relatório. ( C:\quarantine.zip )

|- Ps: Para evitar erros,escolha a unidade em que esteja instalada a ferramenta.

|- Clique em --> Aguarde!

|- Ao concluir,poste-o em um Servidor Host de sua preferência,indicando-nos o endereço.

 

 

|- Outra forma de quarantinar arquivos suspeitos,é acionando o script automatizado.

|- Clique em "File" --> "Standard scripts".

|- Ps: Marque as caixinhas,segundo a screenshot,onde a de número 4 fará a quarentena aos arquivos suspeitos.

|- Clique em

 

 

|- Outra forma seria quarantinar arquivos,seletivamente,executando o Custom scripts.

 

 

|- Para os renitentes,utilize a função "BootCleaner quarantine".

 

 

|- Ps: Neste caso o caminho ( 1 ),ao arquivo,não foi encontrado e seu tamanho ( 2 ),está incorreto. ( 0 bytes )

 

 

|- Propriedades corretas para sgbhp.exe,cujo tamanho é de 233.472 bytes.

 

 

|- Portanto,execute o comando indicando o caminho ao arquivo.

 

 

|- Com a indicação do caminho,ao arquivo,houve êxito na operação!

|- Ps: Ao executar "BootCleaner quarantine",novamente,teremos a correção/sobrescrição do conteúdo anterior,no período.

 

< 1 >-------------

|- Ps: Manualmente,podemos inserir ficheiros na quarentena. < >

|- Abra o avz4.

|- Clique em File --> "Add to Quarantine by list"

|- Cole no campo "File list",os ficheiros que estão na QUOTE.

 

C:\WINDOWS\system32\ir41_32.ax

D:\Arquivos de programas\Defraggler\df.exe

c:\arquivos de programas\spywareguard\sghp.exe

|- Ps: Lembre-se que estes ficheiros,a qualquer hora,podem ser restaurados.

 

 

|- Clique em Start.

|- Concluindo,clique em xClose.

|- Guarde-o(s) por alguns dias e,estando tudo Ok,pode removê-lo(s).

|- Ps: Observei que ao quarantinar arquivos,por esse meio,ocorrem algumas falhas.

|- Ps: Nunca delete ficheiros suspeitos,pois podem ser legítimos!

< 2 >-------------

|- Ps: Manualmente,podemos deletar ou restaurar arquivos quarantinados.

 

 

|- Abra o avz4 e delete os arquivos/pastas,que estão quarantinados.

|- Clique em "File" --> 'Quarantine Folder Viewer.

|- Marque todas a(s) caixinha(s),e clique em --> Yes!

|- Ps: A seta maior está indicando outros períodos,na qual arquivos foram e estão quarantinados.

|- Selecione "Folders",e clique em "Delete folder" --> Yes --> OK.

|- Para restaurar arquivos,selecione-os e clique em --> Yes!

< 3 >-------------

|- Ps: Automáticamente podemos inserir ficheiros na quarentena.

|- Clique em

 

 

|- Em "Em Copy unrecognized files to Quarantine automatically",deixe conforme a screenshot.

 

 

|- Abra o avz4 --> Clique em "File" --> "Infected Folder Viewer"

|- Ps: Arquivos deletados pelo avz,serão 'encaminhados' para esse local.

|- Tendo amostras de arquivos 'infectados',marque-os e clique em

|- Salve-o ( virus.zip ) em um local adequado!

 

 

|- Envie-os para: < newvirus@z-oleg.com > ou < http://z-oleg.com/secur/avz/uploadvir.php >

 

... to be continued.