ViruLogs Collector by Dragokas [Deleted]

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,411
Реакции
14,194
Уговорил.
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,486
Dragokas,
1. Зачем 2 ini ViruLogs.ini?
2. Может сделать какую нибудь проверку чтобы не скачивались архивы которые уже идут в наборе, если они ничем не отличаются.
3. На компе Outpost Firewall и MSE, после перезагрузки MSE вообще не запустился. После проверки перезагрузил комп и он уже запустился.
5842bca0e06ecaea7de721f19465f38e.jpg


1a1159826b6de1832edc56cc688a1233.jpg


34dbc9bd64f8eb1abc9841bd0600b54c.jpg


3dca50ddffadbe4b4d4ce46646e27a69.jpg
+ нужно еще каким то образом проверить не заблокирован ли запуск cmd, а то скрипт не запустится (Например применить inf).
HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.
 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,049
Заметил, что в заголовке VLC написано другое название раздела форума.

Правильное название "Бесплатное лечение компьютеров от вирусов".

Ну и зависло у меня (на моем ПК) - лечиться не хочет. :)
Пишет, что Сети нет. Ну как тогда я сюда зашел.

зав.png
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
поэтому я за уменьшение числа посторонних элементов, от которых особой пользы нет.
Ок, ясно. Я за упрощение. Посмотрю, что еще можно сделать. Вдруг чего, ложных детектов на утиль не хотелось бы иметь.
Скажите, а какой процент файловых вирусов, которые изменяют размер EXE
от тех, что модифицируют его без изменения размера?

glax24, спасибо большое за тест.
Итак если CMD заблокирован, с чего делать старт, как думаешь?
Сделать EXE или VBS (запуск скриптов могут заблокировать?), или
в инструкции к сборщику написать - "Если не удается запустить ViruLogs, нажмите правой кнопкой мыши по файлу EnableCMD.ini и выберите "Установить".
1. Зачем 2 ini ViruLogs.ini?
С серверной версией спешил (user-INI, server-INI). Пока так. В сл. версии уберу.
2. Может сделать какую нибудь проверку чтобы не скачивались архивы которые уже идут в наборе, если они ничем не отличаются.
В наборе нет архивов. С целью уменьшения объема сборщика на нашем сервере (~11 Мб) я их не включал.
После второго запуска сборщика архивы повторно уже не скачиваются... только проверяется их обновление.
Хм... можно попробовать включать оригинальные нераспакованные версии, но тогда размер будет чуть большим (дублирование баз AVZ -> кумулятивный архив баз + старые базы, которые в составе самого AVZ). Подумаю.

glax24, на счет антивируса есть догадки. Протестирую. В сл. версии будет по-другому.

1. "запуск AVZ... Обновление баз... ошибка." - это значит, что AVZ при выполнении скрипта обновления записал у себя в логе, что не смог обновиться.
Ну что мне сделать с глюками AVZ? У меня тоже такая ошибка проскакивала (могу попытаться второй и последний раз запускать AVZ в надежде на успех). Может в скрипте для AVZ установить задержку перед стартом...
2. "Затем нажмите ОК" - согласен. Уберу.
3. Проблемы с кнопками в интерфейсе AVZ - замечал... посмотрю, зависит ли это от меня.
4. Лог самого сборщика больше не включаю в архив. Строку кода удалю.
Ну и зависло у меня (на моем ПК) - лечиться не хочет.
Пишет, что Сети нет. Ну как тогда я сюда зашел.
@SNS-amigo, с Вами попробуем решить отдельно. Спасибо за замечание.
Так - зависло или просто не нашло сеть и началась процедура анализа без обновления?
Возможно, пакет потерялся. Увеличу число попыток с 1 на более.
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,411
Реакции
14,194
Скажите, а какой процент файловых вирусов, которые изменяют размер EXE
от тех, что модифицируют его без изменения размера?

Мы такую статистику не ведем :) сложно сказать.

Хм... можно попробовать включать оригинальные нераспакованные версии, но тогда размер будет чуть большим (дублирование баз AVZ -> кумулятивный архив баз + старые базы, которые в составе самого AVZ). Подумаю.
А если посмотреть в сторону полиморфной версии avz mini.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
Мы такую статистику не ведем сложно сказать.
Вместо MD5 я добавлю функционал сравнения размера исходных файлов сборщика и после его запуска (без сторонних утилит).
Если будет разница, в архив попадет дополнительный лог.
А если посмотреть в сторону полиморфной версии avz mini.
Ответил в той теме.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,421
Реакции
6,554
Последнее редактирование:

glax24

Разработчик
Сообщения
2,001
Реакции
1,486
Сделать EXE или VBS (запуск скриптов могут заблокировать?), или
в инструкции к сборщику написать - "Если не удается запустить ViruLogs, нажмите правой кнопкой мыши по файлу EnableCMD.ini и выберите "Установить".
inf более надежней. Например в комплекте с uVS идет _unlock.inf, можно наверное его использовать в случае блокировки.

Но надо спросить у бывалых как лучше поступить в этой ситуации.
 

Гимаев Наиль

Активный пользователь
Сообщения
59
Реакции
98
в комплекте с uVS идет _unlock.inf, можно наверное его использовать в случае блокировки.
В интернете пишут, что inf-файлы работают даже при заблокированном regedit. Жаль, что не знал про их возможности раньше. А возможности достаточно большие (см. MSDN).
_unlock.inf, судя по содержимому, решает большинство проблем блокировки, но почему-то в нём не учтён приведённый выше пример:
HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.
Но формат файла очень простой, поэтому можно легко нарастить функционал.
Единственная проблема - это сложности запуска без прав администратора, но эти сложности касаются любой программы.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,306
Реакции
6,310
HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.

Вирусы блокируют в HKCU,HKLM,HKU_SID_MEMBER.
На момент обнаружения неполадки можно временно отключить запрос UAC ,конечно же восстановив потом значения.

+Данная утилита уже стартует с правами админа при запуске системы,соответственно наделяя привилегиями исполняемые сценарии я так думаю.
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,486
Кирилл ты немного не прав если речь про этот параметр HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.
Если его создать в hklm то блокировки cmd не будет.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,306
Реакции
6,310
Нарушение работы CMD может быть вызвано не только политиками.
Подготовлю список.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
Koza Nozdri, в закрытый раздел токо ж.
В крайнем случае можно упаковать в 7z sfx.

Гимаев Наиль, если что sov44 и gora хорошо разбираются в создании inf-инсталляторов.
Последняя разработка sov была SumatraPDF - silent installer.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
Переоформил по-человечески шапку темы.

Спасибо всем большое, что помогаете в разработке утилиты.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,421
Реакции
6,554
Тут (на этой вкладке) первый пост тоже обновил.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,421
Реакции
6,554
19beb1846252c50adeaae63bfdfd716d.png


и ещё несколько аналогичных вылетало...
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
regist, спасибо. Значит она скомпилирована без отвязки от сишных либ.
Нужно проверить эту библиотеку на повреждение и перерегистрировать regsvr32 %windir%\system32\msvcp100.dll
В свете перехода на VBS будет неактуально.
 

FraidZZ

Пользователь
Сообщения
16
Реакции
18
Скажите, а какой процент файловых вирусов, которые изменяют размер EXE
от тех, что модифицируют его без изменения размера?
Их гораздо больше, ибо изменить файл без изменения размера сложнее. На некоторые exe так и вовсе невозможно.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,421
Реакции
6,554
FraidZZ, а вы логи AVZ смотрите? А при файловом заражение? В AVZ уже есть такая проверка, так что ещё раз повторюсь это накручивание не нужных проверок реальной пользы от которых ноль.
+ Есть файловые вирусы, которые заражают только определённые файлы (точней соответствующие определёнными условиям), так что консультант должен уметь видеть файловое заражение по логам утилит, а не по какому-то постороннему логу.можно добавить кучу разных проверок, но нужны и полезны ли они на практике? Думаю, что надо исходить именно из этих критериев.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,720
Реакции
6,208
Пользователь Dragokas обновил ресурс ViruLogs Collector by Dragokas новой записью:

Новый принцип обновления, правки ошибок, новый функционал

Обновления утилит
Добавлено зеркало avz.safezone.cc
Наличие обновлений для AVZ (ядро + базы) теперь проверяется не через интерфейс AVZ, а через парсинг 3 Кб-файла avzupd.zip на сайте z-oleg.com (спасибо Гимаев Наиль)

Файлы
Финальный лог теперь создается в главной папке.
Удалена утилита nircmd.exe

Интерфейс
Добавлено сообщение "Выгрузить защитное ПО" после перезагрузки.
Показ имени установленного антивируса (чтобы обратить внимание)
Профессиональный перевод от Anna...

Узнать больше об этом обновлении...
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу