ViruLogs Collector by Dragokas [Deleted]

[Dragokas]

Основная цель:
Автоматизация сбора информации о вирусном заражении с помощью утилит AVZ, RSIT, SITLog, SecurityCheck
для раздела "Бесплатная помощь в лечении компьютерных вирусов"​

Что делать, если утилита не запустилась, или отработала не полностью:
1. Скачать архив с Inf-файлом. Распаковать его. Нажать по нему правой клавишей мыши, затем выбрать "Установить".
Запустить сборщик еще раз.

Спойлер: Что делает Unlocker.inf

Что делает Unlocker.inf ?

1. восстановление файловых ассоциаций .exe, .com, .bat, .cmd, .pif, .scr, .reg;
   
2. снятие ограничений на запуск некоторых антивирусных приложений, командной строки и сервера сценариев;
   
3. снятие таких ограничений, установленных групповыми политиками:

• Блокировка диспетчера задач.
• Блокировка командной строки.
• Блокировка панели управления.
• Блокировка редактора реестра.

2. Если не помогло, воспользоваться альтернативным сборщиком AutoLogger [regist & Drongo]

Принцип работы ViruLogs Collector:
1. Запрос на обновление утилит, если прошло более 1 дня.
2. Создание контрольной точки восстановления системы.
3. Запуск Internet Explorer и браузера по-умолчанию.
4. Запрос на отключение антивирусных средств защиты.
5. Запуск AVZ (стандартный скрипт № 3), перезагрузка, запуск AVZ (стандартный скрипт № 2).
6. Запуск SecurityCheck
7. Запуск RSIT.
8. Запуск SITLog
9. Сбор логов в единый ZIP-архив.

Сборщик логов обновляется (базы AVZ + утилиты):
1) 2 раза в день актуальная версия выгружается на сервер;
2) у пользователя, если он пользуется старой версией, иначе сбор логов блокируется.

Особое спасибо:
akok, Koza Nozdri, regist, Katharsis, Phoenix, glax24, Drongo, FraidZZ
Вы всегда высказывали дельные замечания и множество раз помогали в разработке.
Спасибо всем тестерам: shestale, Sandor, грум, SNS-Amigo, sov44, Гимаев Наиль, FraidZZ и многим..., многим...

Обсуждение старта проекта.

 

[Dragokas]

Обсуждение утилиты в теме: http://safezone.cc/threads/avtomaticheskoe-poluchenie-logov-avz-rsit-sitlog-hijack-this.22345

 

[akok]

Сегодня сделаю замену в правилах

 

[shestale]

Замену чего на чего?

 

[akok]

Всего на утилиту. Вернее основные правила будут вместо сокращенной версии

 

[akok]

AVZ с сервера Зайцева скачивается со скоростью 7,5 кб/с, можно добавить контроль скорости и автоматическое переключение на зеркало?

 

[Sandor]

А как быть, если на "больном" компьютере нет интернета? Я скачал утилиту на "здоровом", запустил на "больном" и получаю:

 

[akok]

Должна запускаться локальная версия. Кстати в этой версии еще не вырезан eicar

 

[Кирилл]

Неплохо бы приделать кнопку : Обновить VirusLog

Это для того что бы можно было скачать на одном компе и запустить на другом с обновленными базами.

+ Я бы обязательно указал большим жирным шрифтом что утилиту можно скачивать только и только отсюда,во избежание сюрпризов.

+Если антивирус будет ругаться-временно отключить до окончания сбора логов.

 

[akok]

+Если антивирус будет ругаться-временно отключить до окончания сбора логов.

А вот этого быть не должно, тем более один из пунктов правил есть отключение АВ продуктов.

 

[Dragokas]

AVZ с сервера Зайцева скачивается со скоростью 7,5 кб/с, можно добавить контроль скорости и автоматическое переключение на зеркало?

Да, можно.
Пока сделаю по-проще. Будет контроливаться только время загрузки. Если превысит, скажем 15 сек., переключится на другое зеркало.

Sandor, сборка в готовом виде будет весить ~30 Мб. (можно ~20 буду думать)
и иметь постоянный адрес на FTP. Ожидайте... готовлю.
Версию из шапки следует сначала обновить на здоровом ПК, а затем копировать на больной.
Впредь буду всегда выкладывать полную (обновленную) версию.

Неплохо бы приделать кнопку : Обновить VirusLog
Это для того что бы можно было скачать на одном компе и запустить на другом с обновленными базами.

Сделаю кнопку ДА, НЕТ.
Обновление будет опционально по выбору пользователя.

+ Я бы обязательно указал большим жирным шрифтом что утилиту можно скачивать только и только отсюда,во избежание сюрпризов.

Это, имхо, нужно в главную инструкцию записать.

 

[Dragokas]

Пользователь Dragokas обновил ресурс ViruLogs Collector by Dragokas новой записью:

Облегченная версия. Удален EICAR и часть сторонних программ. Добавлена серверная часть.

0.1.8
Удалена функция проверки включен ли антивирус. Вырезан тестовый файл not-a-virus EICAR, удален файл Handle.exe
Качаются обе x64, x32 версии утилит RSIT.
Добавлено окно "Обновить утилиты и базы ?"
Вырезан SetClip, как ложный детект некоторых антивирусов. Путь к архиву теперь не копируется в буфер обмена.
Поправлены зеркала.
Убрана проверка MD5 (иначе утилита не запустится при наличии файлового вируса-червяка). Удален файл Rhash.exe
Запрещен запуск из архива....

Узнать больше об этом обновлении...Sandor, теперь можно качать сразу на зараженный.
Решил уменьшить до ~ 11 Мб.

 

[shestale]

1. Этап с обновлениями прошел замечательно.
2. После перезагрузки так и не появилось предупреждение о отключении антивирусного ПО.
3. На этапе создания списка журнала событий в RSIT все замедлилось, я уж думал что зависло, но минут через пять процесс продолжился, в связи с этим осмелюсь повторить свой вопрос, зачем собирать логи RSIT, если мы все равно планируем перейти на SITLog?
Общее впечатление замечательное!

 

[грум]

А у меня нормально все прошло.Сразу не стал отключать антивирус.Отключил после того как вылезло окошко с предупреждением что надо отключить антивирус.Отработало все хорошо и быстро.

 

[shestale]

Отключил после того как вылезло окошко с предупреждением что надо отключить антивирус

Валера, это до перезагрузки, а после перезагрузки его тоже необходимо вставить.

 

[грум]

Валера, это до перезагрузки, а после перезагрузки его тоже необходимо вставить.

Саша а зачем.Потом идет выполнение скрипта номер 2.

 

[shestale]

И скрипта №2 и остальных программ.., а разве отключать антивирус не нужно? ...мое мнение-нужно отключать, антивирус как минимум, мешает сканированию.

 

[akok]

Убрана проверка MD5 (иначе утилита не запустится при наличии файлового вируса-червяка). Удален файл Rhash.exe

Кстати, проверку можно оставить, только не блокировать запуск, а создавать доп лог с предупреждением о возможном заражении файловым вирусом (нам же удобнее будет ловить файловое заражение)

осмелюсь повторить свой вопрос, зачем собирать логи RSIT, если мы все равно планируем перейти на SITLog?

Я уже отвечал, пока SIT не обкатаем в боевых условиях, то будем получать лог обоих утилит.

 

[Dragokas]

2. После перезагрузки так и не появилось предупреждение о отключении антивирусного ПО.

Забыл Добавлю в сл. версии.

Кстати, проверку можно оставить, только не блокировать запуск, а создавать доп лог с предупреждением о возможном заражении файловым вирусом (нам же удобнее будет ловить файловое заражение)

Ок. Так и сделаю.

 

[shestale]

Я уже отвечал, пока SIT не обкатаем в боевых условиях, то будем получать лог обоих утилит.

А смысл? Если конечно не планируется запустить логовыжималку до обкатки SITLog-а.Dragokas, а что по п.3, на предыдущей версии проблем с тормозами у меня(7х64) не было.