AutorunsVTchecker

AutorunsVTchecker 2021.02.07

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
14,886
Реакции
6,796
Пользователь regist разместил новый ресурс:

AutorunsVTchecker - Проверка файлов из автозапуска на ВирусТотал

Утилита для проверки всех файлов из автозапуска на вирустотал. По сути является ланчером к программе Autorunsc от Марка Руссиновича.

Утилита предназначена для удалённой помощи от вирусов, чтобы не просить пользователя по отдельности проверить разные файлы и ещё объяснять как это сделать, можно просто дать ссылку на эту утилиту и попросить её запустить. По окончанию своей работы она сообщит об этом. Никаких логов...

Узнать больше об этом ресурсе...
 
BORODA(C), а описание утилиты читали? Добавить конечно можно, вот только смысла в этом не вижу никакого. В описание это указал и пояснил почему.
А если речь откуда хелперу брать хеши, то они есть и в XML логе от AVZ и в логе uVS, при чём последний сам умеет выводить результат проверки файла, если тот раньше проверялся на ВТ.
 
описание утилиты читали?
Эм... нет :) Теперь прочитал.
Вопрос возник только потому, что при запуске на компе на экране шустро мелькали редкие сообщения 1/67. Захотелось посмотреть, что это. Переназначение потока в файл "AutorunsVTchecker.exe > AutorunsVTchecker.txt" не сработало, вот я и спросил. Про опцию Autoruns не знал, спасибо!https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/
 
Так то ж обычный 7zsfx ...
Хотя идея неплоха

Если б он умел игнорировать системные файлы было бы интереснее.
А задачи из планировщика оно проверяет ?
 
Если б он умел игнорировать системные файлы было бы интереснее.
Наоборот, можно сказать ради них и создалась эта утилита. В логе видишь кучу системных файлов (точней сказать кучу файлов среди системных) и нельзя сказать они легальны или нет. А так будет отчёт по VT и уже точно видно.
А задачи из планировщика оно проверяет ?
Да.
 
vavun,
1) Многие MS файлы не подписаны.
2) Пожалуйста, объясните, как вы собираетесь проверять подпись по логу AVZ ?
 
vavun,
1) Многие MS файлы не подписаны.
2) Пожалуйста, объясните, как вы собираетесь проверять подпись по логу AVZ ?
1) например ?
2) про авз ни слова, да и обсуждается тут не он. Разве нет ?
 
1) Думал сначала дать полный путь к файлу, потом решил что так трудно проверить есть подпись у файла и нет. Поэтому ссылкой на VT. Все файлы взяты из лога с моей системы win 7 x32
И разумеется это просто несколько файлов для примера, а когда начнёшь детально изучать систему по логам, то понимаешь, что таких файлов минимум десятки, а то и сотни.
2)
про авз ни слова, да и обсуждается тут не он. Разве нет ?
А вы описание утилиты читали? Точней для чего она предназначена?
 
regist,
1) а все же дайте, у меня таких файлов в системе не нашлось (по крайней мере первых четырех, дальше не стал смотреть)
2) Пардон, виноват
 
таких файлов в системе не нашлось (по крайней мере первых четырех, дальше не стал смотреть
всё-таки попробуйте с конца, там уже с другого каталога взял. А первые возможно от набора обновлений зависят.
 
Это у меня урезаная сборка установлена (тапками не кидайтесь, делал сами и исключительно для себя).
Нашел искомые файлы на вируатлке с оригинальной семеркой.
Так то компоненты .NET. Не очень понимаю какое отношение к автозапуску они имеют
 
Не уверен, что это именно те на которые выложил ссылки (я их не помечал), но вот файлы от MS без подписи
Код:
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS7\MSDDSF.DLL
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS7\MSDDSLM.DLL
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VISUAL DATABASE TOOLS\VDT70.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\B6F386CA9AAC902DE13B29ACEC7EE138\ASPNETMMCEXT.NI.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\F416E1D90FF555B7E02A5A5E1C1F2510\ASPNETMMCEXT.NI.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\EHRECOBJ\89DF33050E8819479D1FFBD06560BE1A\EHRECOBJ.NI.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_32\PRESENTATIO49D6FEFE#\A1BBBDFBB2BFC6651D4E67B28D4580ED\PRESENTATIONFRAMEWORK-SYSTEMXML.NI.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_32\PRESENTATIO84A6349C#\7D5388EA8EFA0EDEBEB3BFB701A3011F\PRESENTATIONFRAMEWORK-SYSTEMCORE.NI.DLL

Не очень понимаю какое отношение к автозапуску они имеют
ещё раз перечитайте описание утилиты и для чего она предназначена. После этого ответьте, вы дадите гарантию, что среди них не будет спрятан вирусный файл?
И на всякий случай сразу скажу, что вирусы, которые прячут части себя в недрах среди системных файлов, так что даже не во всех логах есть мне уже не раз встретились. Поэтому и пришлось сделать эту утилиту. Только не просите ссылку, под рукой такой темы нет и в последние несколько недель не встречались.
 
Я вот что то не пойму.
Отрабатывает софтина, допустим находит нечто нечистое и продолжает работать дальше. После отработки закрывается.
И всё ? Окно то закрывается cmd-шное. Да и "буфер" у него не бесконечный (или как оно правильно называетя)
При достаточно большом выводе он весь не хранится в окне cmd.

Может лучше cmd.exe /k вместо cmd.exe /c раз уж не планируются логи ? (А еще лучше cmd.exe /d /k )

Я ни в коем случае не собирасюь вам советовать, как лечить вирусню, я в этом ничерта не понимаю, но слегка улучшить функционал этой софтины прямо таки очень хочу.

autorunsc_x86.exe
autorunsc_x64.exe
Код:
RunProgram="cmd.exe /d /c \"color 17 & title AutorunsVTchecker & \"%%T\\autorunsc_%%P.exe\" -accepteula -nobanner -a * -vt -vs 2>&1 >>\"%UserDesktop%\\VT_LOG.txt\""
AutoInstall="cmd.exe /d /k \"color 17 & title AutorunsVTchecker & \"%%T\\autorunsc_%%P.exe\" -accepteula -nobanner -a * -vt -vs\""

Почему бы не сделать к примеру вот так ?
Два варианта работы
 
Последнее редактирование:
vavun, для второго варианта проще создать лог самого Autoruns, который сделает аналогичную процедуру и покажет всю информацию в удобоваримом виде + еще и лог создаст для анализа Как подготовить лог Autoruns
 
vavun, вот сам же пишешь, что буфер CMD не бесконечный. Это у нас с тобой могут быть другие настройки, которые мы себе сделали для удобства.
А у обычного юзера буфер = 300 строк. На проверку 1 файла уходит 12 строк. Итого, 25 файлов максимум, а остальная часть обрежется. Да, и вообще неудобно смотреть такой лог в окне консоли.
И собственно, это и не нужно. Утилита назначается для помощи хелперам, а не самостоятельного анализа юзерами найденных (возможно даже, ложных) срабатываний по отчёту VT. В итоге, может оказаться даже хуже, если юзер увидит этот файл и решит самостоятельно выполнить с ним какие-то действия.
Хелпер же получает инфу с привязкой к VT совсем через другие программы.
 
cmd.exe /k вместо cmd.exe /c
не вижу пользы, скорее даже наоборот.
подумаю над этим если соберусь обновлять утилиту, пока вроде реализовано всё что хотел и обновлять не вижу смысла.
Почему бы не сделать к примеру вот так ?
Два варианта работы
Могу ещё раз посоветовать почитать описание утилиты, либо хотя бы почитайте посты в этой теме перед вашими. Как раз этот вопрос обсуждался.
 
Назад
Сверху Снизу