ViruLogs Collector by Dragokas [Deleted]

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,557
Реакции
14,216
Уговорил.
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,486
Dragokas,
1. Зачем 2 ini ViruLogs.ini?
2. Может сделать какую нибудь проверку чтобы не скачивались архивы которые уже идут в наборе, если они ничем не отличаются.
3. На компе Outpost Firewall и MSE, после перезагрузки MSE вообще не запустился. После проверки перезагрузил комп и он уже запустился.
5842bca0e06ecaea7de721f19465f38e.jpg


1a1159826b6de1832edc56cc688a1233.jpg


34dbc9bd64f8eb1abc9841bd0600b54c.jpg


3dca50ddffadbe4b4d4ce46646e27a69.jpg
+ нужно еще каким то образом проверить не заблокирован ли запуск cmd, а то скрипт не запустится (Например применить inf).
HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.
 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,049
Заметил, что в заголовке VLC написано другое название раздела форума.

Правильное название "Бесплатное лечение компьютеров от вирусов".

Ну и зависло у меня (на моем ПК) - лечиться не хочет. :)
Пишет, что Сети нет. Ну как тогда я сюда зашел.

зав.png
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,742
Реакции
6,211
поэтому я за уменьшение числа посторонних элементов, от которых особой пользы нет.
Ок, ясно. Я за упрощение. Посмотрю, что еще можно сделать. Вдруг чего, ложных детектов на утиль не хотелось бы иметь.
Скажите, а какой процент файловых вирусов, которые изменяют размер EXE
от тех, что модифицируют его без изменения размера?

glax24, спасибо большое за тест.
Итак если CMD заблокирован, с чего делать старт, как думаешь?
Сделать EXE или VBS (запуск скриптов могут заблокировать?), или
в инструкции к сборщику написать - "Если не удается запустить ViruLogs, нажмите правой кнопкой мыши по файлу EnableCMD.ini и выберите "Установить".
1. Зачем 2 ini ViruLogs.ini?
С серверной версией спешил (user-INI, server-INI). Пока так. В сл. версии уберу.
2. Может сделать какую нибудь проверку чтобы не скачивались архивы которые уже идут в наборе, если они ничем не отличаются.
В наборе нет архивов. С целью уменьшения объема сборщика на нашем сервере (~11 Мб) я их не включал.
После второго запуска сборщика архивы повторно уже не скачиваются... только проверяется их обновление.
Хм... можно попробовать включать оригинальные нераспакованные версии, но тогда размер будет чуть большим (дублирование баз AVZ -> кумулятивный архив баз + старые базы, которые в составе самого AVZ). Подумаю.

glax24, на счет антивируса есть догадки. Протестирую. В сл. версии будет по-другому.

1. "запуск AVZ... Обновление баз... ошибка." - это значит, что AVZ при выполнении скрипта обновления записал у себя в логе, что не смог обновиться.
Ну что мне сделать с глюками AVZ? У меня тоже такая ошибка проскакивала (могу попытаться второй и последний раз запускать AVZ в надежде на успех). Может в скрипте для AVZ установить задержку перед стартом...
2. "Затем нажмите ОК" - согласен. Уберу.
3. Проблемы с кнопками в интерфейсе AVZ - замечал... посмотрю, зависит ли это от меня.
4. Лог самого сборщика больше не включаю в архив. Строку кода удалю.
Ну и зависло у меня (на моем ПК) - лечиться не хочет.
Пишет, что Сети нет. Ну как тогда я сюда зашел.
@SNS-amigo, с Вами попробуем решить отдельно. Спасибо за замечание.
Так - зависло или просто не нашло сеть и началась процедура анализа без обновления?
Возможно, пакет потерялся. Увеличу число попыток с 1 на более.
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,557
Реакции
14,216
Скажите, а какой процент файловых вирусов, которые изменяют размер EXE
от тех, что модифицируют его без изменения размера?

Мы такую статистику не ведем :) сложно сказать.

Хм... можно попробовать включать оригинальные нераспакованные версии, но тогда размер будет чуть большим (дублирование баз AVZ -> кумулятивный архив баз + старые базы, которые в составе самого AVZ). Подумаю.
А если посмотреть в сторону полиморфной версии avz mini.
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,742
Реакции
6,211
Мы такую статистику не ведем сложно сказать.
Вместо MD5 я добавлю функционал сравнения размера исходных файлов сборщика и после его запуска (без сторонних утилит).
Если будет разница, в архив попадет дополнительный лог.
А если посмотреть в сторону полиморфной версии avz mini.
Ответил в той теме.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,453
Реакции
6,565
Последнее редактирование:

glax24

Разработчик
Сообщения
2,001
Реакции
1,486
Сделать EXE или VBS (запуск скриптов могут заблокировать?), или
в инструкции к сборщику написать - "Если не удается запустить ViruLogs, нажмите правой кнопкой мыши по файлу EnableCMD.ini и выберите "Установить".
inf более надежней. Например в комплекте с uVS идет _unlock.inf, можно наверное его использовать в случае блокировки.

Но надо спросить у бывалых как лучше поступить в этой ситуации.
 

Гимаев Наиль

Активный пользователь
Сообщения
59
Реакции
98
в комплекте с uVS идет _unlock.inf, можно наверное его использовать в случае блокировки.
В интернете пишут, что inf-файлы работают даже при заблокированном regedit. Жаль, что не знал про их возможности раньше. А возможности достаточно большие (см. MSDN).
_unlock.inf, судя по содержимому, решает большинство проблем блокировки, но почему-то в нём не учтён приведённый выше пример:
HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.
Но формат файла очень простой, поэтому можно легко нарастить функционал.
Единственная проблема - это сложности запуска без прав администратора, но эти сложности касаются любой программы.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,306
Реакции
6,310
HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.

Вирусы блокируют в HKCU,HKLM,HKU_SID_MEMBER.
На момент обнаружения неполадки можно временно отключить запрос UAC ,конечно же восстановив потом значения.

+Данная утилита уже стартует с правами админа при запуске системы,соответственно наделяя привилегиями исполняемые сценарии я так думаю.
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,486
Кирилл ты немного не прав если речь про этот параметр HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.
Если его создать в hklm то блокировки cmd не будет.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,306
Реакции
6,310
Нарушение работы CMD может быть вызвано не только политиками.
Подготовлю список.
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,742
Реакции
6,211
Koza Nozdri, в закрытый раздел токо ж.
В крайнем случае можно упаковать в 7z sfx.

Гимаев Наиль, если что sov44 и gora хорошо разбираются в создании inf-инсталляторов.
Последняя разработка sov была SumatraPDF - silent installer.
 
Последнее редактирование:

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,742
Реакции
6,211
Переоформил по-человечески шапку темы.

Спасибо всем большое, что помогаете в разработке утилиты.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,453
Реакции
6,565
Тут (на этой вкладке) первый пост тоже обновил.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,453
Реакции
6,565
19beb1846252c50adeaae63bfdfd716d.png


и ещё несколько аналогичных вылетало...
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,742
Реакции
6,211
regist, спасибо. Значит она скомпилирована без отвязки от сишных либ.
Нужно проверить эту библиотеку на повреждение и перерегистрировать regsvr32 %windir%\system32\msvcp100.dll
В свете перехода на VBS будет неактуально.
 

FraidZZ

Пользователь
Сообщения
16
Реакции
18
Скажите, а какой процент файловых вирусов, которые изменяют размер EXE
от тех, что модифицируют его без изменения размера?
Их гораздо больше, ибо изменить файл без изменения размера сложнее. На некоторые exe так и вовсе невозможно.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,453
Реакции
6,565
FraidZZ, а вы логи AVZ смотрите? А при файловом заражение? В AVZ уже есть такая проверка, так что ещё раз повторюсь это накручивание не нужных проверок реальной пользы от которых ноль.
+ Есть файловые вирусы, которые заражают только определённые файлы (точней соответствующие определёнными условиям), так что консультант должен уметь видеть файловое заражение по логам утилит, а не по какому-то постороннему логу.можно добавить кучу разных проверок, но нужны и полезны ли они на практике? Думаю, что надо исходить именно из этих критериев.
 
Последнее редактирование:

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,742
Реакции
6,211
Пользователь Dragokas обновил ресурс ViruLogs Collector by Dragokas новой записью:

Новый принцип обновления, правки ошибок, новый функционал

Обновления утилит
Добавлено зеркало avz.safezone.cc
Наличие обновлений для AVZ (ядро + базы) теперь проверяется не через интерфейс AVZ, а через парсинг 3 Кб-файла avzupd.zip на сайте z-oleg.com (спасибо Гимаев Наиль)

Файлы
Финальный лог теперь создается в главной папке.
Удалена утилита nircmd.exe

Интерфейс
Добавлено сообщение "Выгрузить защитное ПО" после перезагрузки.
Показ имени установленного антивируса (чтобы обратить внимание)
Профессиональный перевод от Anna...

Узнать больше об этом обновлении...
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу