ViruLogs Collector by Dragokas [Deleted]

Статус
В этой теме нельзя размещать новые ответы.

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,863
Реакции
6,621
Основная цель:
Автоматизация сбора информации о вирусном заражении с помощью утилит AVZ, RSIT, SITLog, SecurityCheck
для раздела "Бесплатная помощь в лечении компьютерных вирусов"​

Что делать, если утилита не запустилась, или отработала не полностью:
1. Скачать архив с Inf-файлом. Распаковать его. Нажать по нему правой клавишей мыши, затем выбрать "Установить".
Запустить сборщик еще раз.
Что делает Unlocker.inf ?
  1. восстановление файловых ассоциаций .exe, .com, .bat, .cmd, .pif, .scr, .reg;
  2. снятие ограничений на запуск некоторых антивирусных приложений, командной строки и сервера сценариев;
  3. снятие таких ограничений, установленных групповыми политиками:

  • Блокировка диспетчера задач.
  • Блокировка командной строки.
  • Блокировка панели управления.
  • Блокировка редактора реестра.
2. Если не помогло, воспользоваться альтернативным сборщиком AutoLogger [regist & Drongo]

Принцип работы ViruLogs Collector:
1. Запрос на обновление утилит, если прошло более 1 дня.
2. Создание контрольной точки восстановления системы.
3. Запуск Internet Explorer и браузера по-умолчанию.
4. Запрос на отключение антивирусных средств защиты.
5. Запуск AVZ (стандартный скрипт № 3), перезагрузка, запуск AVZ (стандартный скрипт № 2).
6. Запуск SecurityCheck
7. Запуск RSIT.
8. Запуск SITLog
9. Сбор логов в единый ZIP-архив.

Сборщик логов обновляется (базы AVZ + утилиты):
1) 2 раза в день актуальная версия выгружается на сервер;
2) у пользователя, если он пользуется старой версией, иначе сбор логов блокируется.

Особое спасибо:
akok, Koza Nozdri, regist, Katharsis, Phoenix, glax24, Drongo, FraidZZ
Вы всегда высказывали дельные замечания и множество раз помогали в разработке.
Спасибо всем тестерам: shestale, Sandor, грум, SNS-Amigo, sov44, Гимаев Наиль, FraidZZ и многим..., многим...

Обсуждение старта проекта.
 
Последнее редактирование:
Сегодня сделаю замену в правилах
 
Замену чего на чего?
 
Всего на утилиту. Вернее основные правила будут вместо сокращенной версии
 
AVZ с сервера Зайцева скачивается со скоростью 7,5 кб/с, можно добавить контроль скорости и автоматическое переключение на зеркало?
 
А как быть, если на "больном" компьютере нет интернета? Я скачал утилиту на "здоровом", запустил на "больном" и получаю:
 
Должна запускаться локальная версия. Кстати в этой версии еще не вырезан eicar
 
Неплохо бы приделать кнопку : Обновить VirusLog

Это для того что бы можно было скачать на одном компе и запустить на другом с обновленными базами.

+ Я бы обязательно указал большим жирным шрифтом что утилиту можно скачивать только и только отсюда,во избежание сюрпризов.

+Если антивирус будет ругаться-временно отключить до окончания сбора логов.
 
+Если антивирус будет ругаться-временно отключить до окончания сбора логов.
А вот этого быть не должно, тем более один из пунктов правил есть отключение АВ продуктов.
 
AVZ с сервера Зайцева скачивается со скоростью 7,5 кб/с, можно добавить контроль скорости и автоматическое переключение на зеркало?
Да, можно.
Пока сделаю по-проще. Будет контроливаться только время загрузки. Если превысит, скажем 15 сек., переключится на другое зеркало.

Sandor, сборка в готовом виде будет весить ~30 Мб. (можно ~20 буду думать)
и иметь постоянный адрес на FTP. Ожидайте... готовлю.
Версию из шапки следует сначала обновить на здоровом ПК, а затем копировать на больной.
Впредь буду всегда выкладывать полную (обновленную) версию.

Неплохо бы приделать кнопку : Обновить VirusLog
Это для того что бы можно было скачать на одном компе и запустить на другом с обновленными базами.
Сделаю кнопку ДА, НЕТ.
Обновление будет опционально по выбору пользователя.

+ Я бы обязательно указал большим жирным шрифтом что утилиту можно скачивать только и только отсюда,во избежание сюрпризов.
Это, имхо, нужно в главную инструкцию записать.
 
Пользователь Dragokas обновил ресурс ViruLogs Collector by Dragokas новой записью:

Облегченная версия. Удален EICAR и часть сторонних программ. Добавлена серверная часть.

0.1.8
Удалена функция проверки включен ли антивирус. Вырезан тестовый файл not-a-virus EICAR, удален файл Handle.exe
Качаются обе x64, x32 версии утилит RSIT.
Добавлено окно "Обновить утилиты и базы ?"
Вырезан SetClip, как ложный детект некоторых антивирусов. Путь к архиву теперь не копируется в буфер обмена.
Поправлены зеркала.
Убрана проверка MD5 (иначе утилита не запустится при наличии файлового вируса-червяка). Удален файл Rhash.exe
Запрещен запуск из архива....

Узнать больше об этом обновлении...Sandor, теперь можно качать сразу на зараженный.
Решил уменьшить до ~ 11 Мб.
 
Последнее редактирование:
1. Этап с обновлениями прошел замечательно.
2. После перезагрузки так и не появилось предупреждение о отключении антивирусного ПО.
3. На этапе создания списка журнала событий в RSIT все замедлилось, я уж думал что зависло, но минут через пять процесс продолжился, в связи с этим осмелюсь повторить свой вопрос, зачем собирать логи RSIT, если мы все равно планируем перейти на SITLog?
Общее впечатление замечательное!
Снимок1.JPG Снимок2.JPG
 
Последнее редактирование:
А у меня нормально все прошло.Сразу не стал отключать антивирус.Отключил после того как вылезло окошко с предупреждением что надо отключить антивирус.Отработало все хорошо и быстро.
 
Отключил после того как вылезло окошко с предупреждением что надо отключить антивирус
Валера, это до перезагрузки, а после перезагрузки его тоже необходимо вставить.
 
Валера, это до перезагрузки, а после перезагрузки его тоже необходимо вставить.
Саша а зачем.Потом идет выполнение скрипта номер 2.
 
И скрипта №2 и остальных программ.., а разве отключать антивирус не нужно? ...мое мнение-нужно отключать, антивирус как минимум, мешает сканированию.
 
Убрана проверка MD5 (иначе утилита не запустится при наличии файлового вируса-червяка). Удален файл Rhash.exe
Кстати, проверку можно оставить, только не блокировать запуск, а создавать доп лог с предупреждением о возможном заражении файловым вирусом (нам же удобнее будет ловить файловое заражение)
осмелюсь повторить свой вопрос, зачем собирать логи RSIT, если мы все равно планируем перейти на SITLog?
Я уже отвечал, пока SIT не обкатаем в боевых условиях, то будем получать лог обоих утилит.
 
2. После перезагрузки так и не появилось предупреждение о отключении антивирусного ПО.
Забыл ;) Добавлю в сл. версии.

Кстати, проверку можно оставить, только не блокировать запуск, а создавать доп лог с предупреждением о возможном заражении файловым вирусом (нам же удобнее будет ловить файловое заражение)
Ок. Так и сделаю.
 
Я уже отвечал, пока SIT не обкатаем в боевых условиях, то будем получать лог обоих утилит.
А смысл? Если конечно не планируется запустить логовыжималку до обкатки SITLog-а.Dragokas, а что по п.3, на предыдущей версии проблем с тормозами у меня(7х64) не было.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу