Здравствуйте, форумчане!
Работаю на компьютере с установленной на нем системой Windows 7.
Сегодня возникло подозрение на заражение системы руткитом (возможно, что ложное, а возможно, и нет) и решил немножко ее проверить антивирусами.
Попробовал запустить 2 антивирусные программы: Rootkit Revealer из набора Sysinternals от М. Руссиновича и AVZ (антивирус Зайцева). Обе программы запустить толком не удалось. Rootkit Revealer при запуске вылетел с ошибкой, а AVZ, как удалось выяснить из ее лога, не смогла загрузить в ядро драйверы, которые как раз и выявляют руткиты и перехватчики — попытка загрузки драйверов закончилась ошибкой и самую интересную для меня часть проверки AVZ выполнить не смогла. Вот фрагмент лога:
Код
1.2 Поиск перехватчиков API, работающих в KernelMode Ошибка загрузки драйвера - проверка прервана [C000036B] 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Ошибка загрузки драйвера - проверка прервана [C000036B]
При попытке включить режим AVZ Guard также выдается ошибка:
Код
Ошибка AVZ Guard: C000036B
Т. е., как я понял, AVZ не может загрузить ни одного драйвера в ядро.
С чем связано такое поведение обеих программ? Вообще-то Rootkit Revealer — программа довольно старая, я посмотрел, она в последний раз обновлялась в 2006 году. Я подумал, может быть причина именно в этом, просто она не совместима с Windows 7, т. к. не обновлялась для работы с этой системой? Или же программа несмотря на возраст вполне работоспособна в семерке и проблема в чем-то другом?
Тот же вопрос по поводу AVZ. Это какая-то несовместимость этой утилиты с Windows 7, или же проблема в настройках Windows, допустим, система настроена так, что AVZ не хватает прав доступа для запуска нужных драйверов?
Или, у меня уже и такая мысль возникла, невозможность нормально запустить обе утилиты, может, это признак заражения ядра руткитом: руткит распознает обе программы при их попытке внедрить драйверы в ядро и не позволяет им это сделать?
Помогите, пожалуйста, разобраться с проблемой.
- Первое сообщение
-
#1
Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:
- Разнообразных шпионских и рекламных приложений (SpyWare и AdvWare). Это одно из основных назначений утилиты;
- Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем;
- Майнеров криптовалюты;
- Руткитов и вредоносных программ, маскирующих свои процессы.
- Сетевых и почтовых червей;
- Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
- Программ двойственного назначения, например — утилит удаленного управления компьютером. Для данных утилит следует учитывать, что они могут опознаваться как безопасные и помечаться зеленым цветом в таблицах и отчетах.
Изначально утилита являлась прямым аналогом программ типа Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление AdWare, SpyWare и троянских программ.
Сразу следует отметить, что программы категорий SpyWare, AdWare по определению не являются вирусами или троянскими программами. Они шпионят за пользователем, собирая и отправляя определенную статистику, а также загружают информацию и программный код на пораженный компьютер, причем в основном из маркетинговых соображений (т.е. передаваемая информация не содержит критических данных – паролей, номеров кредитных карт и т.п., а загружаемая информация является рекламой или обновлениями). Однако очень часто грань между SpyWare и троянской программой достаточно условна и точная классификация затруднительна.
Актуальные ссылки:
Справка:
http://z-oleg.com/secur/avz_doc/
AVZ 4:
https://z-oleg.com/avz4.zip
Архив с базами (обновляется ежедневно)
AVZ 5:
Архив с базами (обновляется ежедневно)
Полиморфная версия, для сложных случаев (обновляется с запозданием)
Полноценная версия с обновляемыми базами
AutoLogger [regist & Drongo] — в составе находится актуальная версия AVZ.
Последнее редактирование модератором: 10 Май 2021
-
#61
Последнее редактирование модератором: 23 Фев 2014
-
#62
Вышла новая версия антивирусной утилиты AVZ — 4.43. Архив с утилитой содержит базу вирусов от 23.12.2014 — 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 405 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 649446 подписей безопасных файлов.
Основные модификации:
[++] Новый функционал — диагностика сети для выявления проблем, создаваемых вредоносными программами (диагностические операции находятся в обновляемой БД)
[++] Добавлена эвристика для обнаружения вредоносных заданий планировщика
[++] Редактор скриптов — подсветка синтаксиса, всплывающее меню редактора и поддержка типовых горячих клавиш
[++] Фильтр в менеджере автозапуска (отображение всех или только неопознанных по БД чистых)
[++] Окно редактирования и выполнения скрипта : добавлена подсветка синтаксиса, выделение цветом специфических команд скрипт-языка AVZ, отображение строки и столбца курсора, поддерживаются стандартные клавиатурные сочетания типа Ctrl+A)
[+] Вывод MD5 по процессам в HTML отчет
[+] Вывод полного названия версии ОС в протокол и XML
[+] Доработана стратегия карантина (повышение качества карантина на x64, улучшен парсер)
[+] В просмотре карантина добавлено отображения сведений по выделенным файлам (количество и суммарный размер)
[+/-] Работа параметра spoollog изменена (если не указан полный путь, то он отсчитывается от каталога AVZ)
[+/-] В XML версия файлов выведена в формате x.x.x.x
[+/-] В описании задания планировщика в XML выведены все поля (ранее часть была доступна только в HTML логе, новые поля JobName, Status и FullCmd)
[+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов
[-] Исправлена ошибка парсера имени файла в автозапуске и диспетчере процессов (было доступно в 4.41 через обновление баз)
[-] XML: Исправлена ошибка с дублирование имени параметра в XML, из за чего лог не проходил верификацию парсеров XML
[-] XML: Исправлена ошибка с отсутствием пробелов между параметрами в XML, из за чего лог не проходил верификацию парсеров XML
[-] Исправлена ошибка с локализацией MessageDlg (в английской локализации были русские надписи на кнопках)
Страница загрузки на обычном месте: http://www.z-oleg.com/secur/avz/download.php
-
#63
В AVZ появился новый девятый стандартный скрипт.
Zaitsev Oleg написал(а):
Поясняю — скрипт этот в обычной жизни не нужен, и ничем не отличается от скрипта 7, кроме одной особенности — собираемые логи не фильтруются по БД чистых. Сделано это по запросу экспертов техподдержки ЛК, для решения следующих задач:
1. может оказаться, что AVZ считает злобный код чистым (примеры известны — всякие хитрые вариации использования системных утилит, которые запускаются с некими хитрыми параметрами, запуск браузеров с хитрой командной строкой …).
2. решение проблем, вызванным легитимным ПО. Т.е. нечто легитимное конфликтует с антивирусом, но мы не видим его в логе, так как оно легитимное и игнорируется.
3. поиск и уничтожение условно-безопасного ПО. Например, пользователю досаждает некий тулбар, который в общем-то легитимен и самим пользователем и установлен (как правило «прицепом» с некоей программой ввиду невнимательности в плане снятия неприметных «птичек»). Такой тулбар не вирус и не малварь, детектировать его нельзя, но проблему решать нужно.Лог получается внушительный по размеру, но зато отражает всю полноту данных о системе
-
#64
авот ето вот что такое?
Ошибка — не найден файл (C:SystemRootsystem32xNtKrnl.exe)]],
Ошибка загрузки драйвера — проверка прервана [C000036B]
При выполнении стандартных скриптов 1 или 3
ав отключено
Последнее редактирование: 26 Июн 2014
-
#65
Ошибка - не найден файл (C:SystemRootsystem32ntoskrnl.exe)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]Во первых не оригинальное ядро, во вторых система х64. (Ошибка AVZ Guard: C000036B — драйвера не устанавливаются на перехват)
begin
if IsWOW64 then
AddToLog('WOW64 = true')
else
AddToLog('WOW64 = false');
end.Последнее редактирование: 26 Июн 2014
-
#66
Sergei, из справки AVZ:
Антивирусная утилита AVZ не выдвигает особых системных требований — ее работоспособность проверена на сотнях компьютеров с операционной системой W9x, Windows NT, 2000 Professional и Server, XP Home Edition и XP Professional (SP1, SP2, SP3), Windows 2003 (SP1), Windows Vista (SP1, SP2), Windows 7. Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7.
-
#67
Vot. Teper ja spokojen. Vsem spasibo
-
#68
Как то он забросил свой авз. Ничего нового не появляется.
-
#69
Базы обновляются, в остальном да.
-
#70
Ничего нового не появляется.
Периодически появляется и обкатывается на версии полиморфа.
Последнее редактирование модератором: 22 Сен 2014
-
#71
Как то он забросил свой авз. Ничего нового не появляется.
Разработчик отвечает на вопросы, но правда на других форумах. Здесь его кажется нет.
-
#72
Разработчик отвечает на вопросы, но правда на других форумах.
но по большей части он игнорирует. Последние несколько месяцев все вопросы (кроме одного) которые ему задавались остались без внимания. Также как и сообщения о багах.
-
#73
все вопросы (кроме одного)
Проинформируйте пож-та, что было в тот одном вопросе и сам ответ, если не трудно.
-
#75
Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов. 
-
#76
Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов.
только небольшая поправка, этот скрипт ярлыки браузеров не меняет, а всего лишь принудительно загружает в браузеры расширение Site Navigation 1.0 или аналогичное.
-
#78
shestale, ему отписался намного раньше чем здесь. И уже и на форуме ЛК продублировал.
-
#79
Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов.
Раз и здесь об этом написали, то продублирую сюда ответ Олега, чтобы не пугать пользователей
Zaitsev Oleg написал(а):
Какой же вредоносный ?! См. лог — Size=»0″
-
#80
добавлена операция восстановления системы №22 — она удаляет все Proxy, как из настроек IE, так и из
HKEY_LOCAL_MACHINESYSTEMControlSet001servicesNlaSvcParametersInternetManualProxiesАнтивирус отключали перед включением AVZGuard?
Каким антивирусом пользуетесь?Если KIS,то AVZ стоит в группе «Доверенные» в Контроле программ?
как видно на скриншоте AVZ входит в доверенные , Антивирус установлен KIS 2011, пробовал отключать и такая же песня , AVZGuard не включается
как видно на скриншоте AVZ входит в доверенные , Антивирус установлен KIS 2011, пробовал отключать и такая же песня , AVZGuard не включается
Бывают случаи, что из-за действий вредоносных программ утилита AVZ не запускается даже если ее переименовать.
При такой ситуации мы будем действовать так:
1. В контекстном меню по щелчку правой кнопкой мыши по исполняемому файлу avz.exe выбираем пункт «Создать ярлык«
2. Щелкаем правой кнопкой мыши по ярлыку и выбираем пункт меню «Свойства«
3. В появившемся окне ищем строку «Объект«
4. Для того что бы включить базовую защиту от троянских программ в поле «Объект» после полного пути к программе через пробел вводим AM=Y.
В нашем примере строка выглядит так:
Для того чтобы включить защиту AVZGuard в момент запуска AVZ через пробел вводим AG=Y
Примечание: Вводить параметр запуска AG=Y, необходимо только в том случае если базовая защита не помогла. После запуска AVZ с ключом AG=Y для продолжения нормальной работы, необходимо перезагрузить компьютер.
5. После редактирования строки «Объект«, нажимаем кнопки «Применить» и «ОК«
6. После сохранения свойств ярлыка запускаем AVZ двойным щелчком по созданному ярлыку.
7. Запустится утилита AVZ без заголовка.
8. После работы с утилитой для ее закрытия следует использовать пункт «Выход» меню «Файл«. Щелчок по красному кресту в заголовке для закрытия программы может привести к ошибке.
Почему не запускается avz avzguard
Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение — борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера.
В момент активации все приложения делятся на две категории — доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:
· Создание, модификация и удаление параметров реестра
· Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске
· Обращение к устройствам devicerawip, deviceudp, devicetcp, deviceip
· Доступ к devicephysicalmemory (что блокирует операции с физической памятью из UserMode)
· Установка драйверов (является следствием блокировки работы с реестром)
· Запуск процессов
· Открытие запущенных процессов с уровнем доступа, допускающим его остановку или запись в его адресное пространство
· Открытие потоков других процессов (при этом недоверенному процессу не запрещается открывать и останавливать свои потоки)
Исходно доверенным является только AVZ.Особенности выключения ПК при включенном AVZGuard
· Процесс выключения и перезагрузки при активной системе AVZGuard может занять до 2-3 минут. Это связано с тем, что система не может принудительно закрыть процессы.
· Некоторые приложение в момент завершения могут выдавать сообщение о ошибках, связанные с ограничением их деятельности
· Сам AVZ невозможно закрыть по Alt-F4 или при помощи кнопки в заголовке окна. Для завершения работы AVZ при активном AVZGuard необходимо применить пункт меню «Файл/Выход»
Вариант 2: Как быстро удалить вирусы
После установки всех галочек как на картинках, нажимаем кнопку ПУСК и ждем окончания проверки.
По завершении сканирования зайдите в меню «Файл — Восстановление системы». 
4. Отметьте 4, 19, 13-ый пункты и нажмите кнопку «Выполнить отмеченные операции». 
5. Подтвердите выполнение операции и закройте программу.
Попробовал по совету уважаемого alexyv запустить командную строку с правами администратора под ограниченным пользователем. Т.е. надо запустить командную строку, редактор реестра или программу настройки системы (msconfig) с правами администратора. С помощью ярлычка или сочетания клавиш. Эти СМС-вымогатели меняют права пользователей в реестре и блокируют выполнение команд. Но с помощью сочетания клавиш (например из совета О.Зайцева: Win+U, или какого-то другого (не все ж они блокируют?)) можно попробовать запустить что-либо с правами администратора. Или запустить отредактированный ярлычок через проводник, браузер, диспетчер и пр..
Сразу, что не получилось:
— Запустить от имени встроенного администратора;
— От имени системы. Не понял, что написано тут: ссылка
— Отредактировать свойства ярлычка из-под LiveCD Ubuntu.
Материалы:
http://virusinfo.info/showthread.php?s=04fd399d72aaea55e54d99c2181a1003&t=54311
http://www.osp.ru/pcworld/2006/03/318152/
http://www.winblog.ru/2007/02/27/27020702.html
http://www.windowsfaq.ru/content/category/3/19/57/
Получилось:
Сначала попробовал в ограниченной учетке отредактировать Свойства ярлычка (командной строки — cmd.exe). Путь: C:Documents and Settingsник_ограниченной_учеткиГлавное менюПрограммыСтандартные. В поле «Объект» стер и вставил:
runas.exe /user:НИК «%SystemRoot%system32cmd.exe /k»
(НИК — ник пользователя с административными правами).
Получилось, ввел пароль администратора и командная строка запустилась от имени администратора.
Потом попробовал добавить клавишу быстрого пуска — в поле «Быстрый вызов», в свойствах ярлычка, написал H, получилось: Ctrl+Alt+H. Попробовал нажать сочетание клавиш — опять ввод пароля и запуск командной строки с правами пользователя-администратора. Ога!
Попробовал создать новый ярлык (правой мышкой на Рабочем столе (или в какой папке) — Создать — Ярлык). В поле «Укажите размещение объекта» вставил этот же ключ (runas.exe /user:НИК «%SystemRoot%system32cmd.exe /k») и запустил. Получилось. Потом можно и добавить букву для запуска сочетанием клавиш.
Дальше запустил Ubuntu как LiveCD и попробовал — ноль. Ни-и-ичего не понятно. Потом запустил RusLive_RAM — тут все повеселей.
Сначала попробовал отредактировать свойства ярлычка для командной строки (лежит в папке: C:Documents and Settingsник_ограниченной_учеткиГлавное менюПрограммыСтандартные). Относительные (runas.exe) пути не принялись, добавил абсолютные:
C:WINDOWSsystem32runas.exe /user:НИК «%SystemRoot%system32cmd.exe /k»
или
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSsystem32cmd.exe /k»
(чтобы вернуть, как было, в Windows XP, в поле «Объект»: %SystemRoot%system32cmd.exe)
Заработало. С LiveCD можно добавить и букву для запуска сочетанием клавиш. Совсем хорошо.
Попробовал создавать новые ярлыки — ничего не получилось. Но выход есть — отредактировать уже существующие. Например Блокнота (находится в той же папке, что и ярлык для cmd.exe. Изначальная запись в поле «Объект»: %SystemRoot%system32notepad.exe). Получилось. Еще некоторые команды для вставки в поле «Объект» Блокнота (не забудьте потом вернуть на изначальную):
— для командной строки:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSsystem32cmd.exe /k»
— для редактора реестра:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSregedit.exe»
— для программы настройки системы:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSServicePackFilesi386msconfig.exe»
В принципе, таким макаром, можно попробовать запускать не только системные утилиты, но и программы.
Кроме возвращения изначальной команды запуска Блокнота после лечения удалите все созданные ярлыки и отредактируйте измененные ярлыки назад. Программа runas.exe весьма опасна!
UPD: — Документация AVZ
— Утилиты ЛК
UPD 2: Идея автоматизации мне очень понравилась. Понашлепал ярлычков с клавишами запуска и положил в папку «112» в C:Documents and SettingsAll UsersДокументы:
1. Как видно из постов в разделе «Помогите» ВирусИнфо, некоторые вирусы оставляют возможность запустить программу лечения/исправления. Т.е. блокируют не все. Можно, например, нажать сочетание клавиш Win+U (это запустит «Дополнительные возможности», приоритет у нее большой. Если не видно окна сразу, то, возможно, оно появится при выключении/перезагрузке. А уж через него, можно добраться до запуска программы (через справку — браузер — проводник). Или еще вариант — некоторые вымогатели позволяют запускать программы (в безопасном режиме, предположим) и тут же завершают работу системы. Это тоже можно остановить. Так, чисто теоретически — нажать Win+U, потом попробовать нажать сочетание клавиш для ярлыка остановки перезагрузки системы. Или из трюка с Win+U, описанном О.Зайцевым, попытаться запустить этот ярлык. Поэтому первый:
(клавиши добавляются в поле «Быстрый вызов» свойств ярлыка.)
Z (т.е. Ctrl+Alt+Z) — остановка завершения работы системы:
«C:WINDOWSsystem32shutdown.exe» -a
2. С — запуск командной строки от имени пользователя с административными правами:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSsystem32cmd.exe /k»
3.R — запуск редактора реестра от имени пользователя с административными правами:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSregedit.exe»
4. 3 — запуск 3-го стандартного скрипта AVZ (Файл — Стандартные скрипты) из командной строки:
«C:WINDOWSsystem32cmd.exe» /c «C:Program Filesavz4avz.exe» Script=ExecuteStdScr(3) Run=Y
Этот ярлык, вернее исполнение команд в AVZ требует уточнения. Авира его напрочь блокирует даже с отключенным Guard_ом. Проверил со 2-ым стандартным — фунциклирует:)
UPD 3: Сочетания клавиш совсем не работают, но можно, с помощью LiveCD перенести нужный ярлык в папку C:Documents and SettingsНикГлавное менюПрограммыАвтозагрузка — при старте системы срабатывает. Или использовать в качестве шаблона для редактирования работающих от сочетания клавиш ярлыков, Блокнота, например.
Еще наделал ярлыков и разложил их в папки с короткими названиями, чтоб не путаться. Т.е. буква — это название папки в папке «112». Убрал все сочетания клавиш и перенес всю папку «112» из All Users в НИК_администратора:
5. Р — запуск AVZ в скрытом режиме (HiddenMode=3) с командной строки:
C:WINDOWSsystem32cmd.exe /c «C:Program Filesavz4avz.exe» ScanDrive=HDD DelVir=Y HiddenMode=3 Run=Y
6. А — запуск AVZ в скрытом режиме от имени пользователя с административными правами:
C:WINDOWSsystem32runas.exe /user:НИК «C:Program Filesavz4avz.exe» ScanDrive=HDD DelVir=Y HiddenMode=3 Run=Y
UPD 4: Еще почитал документацию по AVZ. Нашел способы запуска с защитой: http://z-oleg.com/secur/avz_doc/ в «Параметрах командгой строки» — «Специализированные ключи»:
«AG=[Y|N] — включение AVZGuard в момент запуска AVZ. Этот ключ допустим только во командной строке, в скриптах он не поддерживается. Обработка ключа AG производится в момент запуска AVZ, до его инициализации и создания рабочих окон.
AM=[Y|N] — включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками. Задание AM=Y приводит к удалению текста из заголовка главного окна AVZ, удаляет смысловое имя приложения. В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню «ФайлВыход» или по команде скрипта. Поддерживается в AVZ начиная с версии 4.32″
Попробовал создать ярлыки и запустить под ограниченным пользователем:
C:WINDOWSsystem32cmd.exe /c «C:Program Filesavz4avz.exe» am=y — сработало, выйти из AVZ можно только через меню «ФайлВыход» или по команде скрипта
C:WINDOWSsystem32cmd.exe /c «C:Program Filesavz4avz.exe» ag=y — Ошибка AVZ Guard: C0000061
«C:Program Filesavz4avz.exe» am=y
«C:Program Filesavz4avz.exe» ag=y — Ошибка AVZ Guard: C0000061
Ошибка AVZ Guard: C0000061 — прочитал, возникает из-за того, что AVZ Guard работает только в х32 и под администратором.
Т.е. смысл запуска понятем, можно пробовать: из-под виндоподобных LiveCD (если из-под линуксов, то надо готовится заранее) скачать AVZ, архив с сайта или полиморфный, распаковать в папку, например в C:Documents and SettingsAll UsersДокументы (если полиморфный, то создать папку), переименовать ее в Internet Explorer, переименовать avz.exe в iexplore.exe (при слете языка: «Профиль локализации — это INI файл, лежащий в папке на одном уровне с avz.exe с расширением loc. По умолчанию это avz.loc, но если avz.exe переименовывается скажем в gluck.exe, то профиль локализации должен симметрично переименоваться в gluck.loc.» Или:
«Скажите пожалуйста,почему при запуске AVZ у меня вместо текста цифры?
Проблема с кодировкой в виндоус, решить можно использовав английский интерфейс- будут английские буковки вместо цифр.
Что нужно:
— создать ярлык к исполняемому файлу avz
— нажать правой кнопкой по созданному ярлыку, выбрать вторую ячейку(ярлык) в верхнем окошке( цель=target)заполнить Путь к папке с avz и добавить /avz.exe lang=en
-запускать avz, нажимая на данный ярлык«).
Далее: скопировать ярлык Блокнота, предположим, из папки: C:Documents and SettingsИмя_пострадавшегоГлавное менюПрограммыСтандартные и вставить в папку C:Documents and SettingsИмя_пострадавшегоГлавное менюПрограммыАвтозагрузка — при старте системы AVZ запуститься в защищенном режиме. Отредактировать скопированный ярлык. Какой из методов защиты сработает — надо пробовать. Стартовать с жесткого диска. Не получится — менять ключи старта в ярлыке.
Примеры:
— AM=[Y|N] — включает базовую защиту от троянских программ:
Через командную строку: C:WINDOWSsystem32cmd.exe /c «Путьavz.exe» ag=y
Просто: «Путьavz.exe» ag=y
— AG=[Y|N] — включение AVZGuard в момент запуска AVZ:
Через командную строку: C:WINDOWSsystem32cmd.exe /c «Путьavz.exe» ag=y
Просто: «Путьavz.exe» ag=y
При переименовании avz.exe надо писать придуманное имя. Если в меню будут цифры или кракозябры, то можно попробовать так:
«Путьavz.exe» lang=en am=y
После лечения следует убрать ярлык запуска AVZ из папки Автозагрузка. А то так и будет стартовать — антивирус может обидиться.
Очень красивое решение:) Так можно запускать и другие программы.