ViruLogs Collector by Dragokas [Deleted]

Статус
В этой теме нельзя размещать новые ответы.
Уговорил.
 
Dragokas,
1. Зачем 2 ini ViruLogs.ini?
2. Может сделать какую нибудь проверку чтобы не скачивались архивы которые уже идут в наборе, если они ничем не отличаются.
3. На компе Outpost Firewall и MSE, после перезагрузки MSE вообще не запустился. После проверки перезагрузил комп и он уже запустился.
5842bca0e06ecaea7de721f19465f38e.jpg

1a1159826b6de1832edc56cc688a1233.jpg

34dbc9bd64f8eb1abc9841bd0600b54c.jpg

3dca50ddffadbe4b4d4ce46646e27a69.jpg
+ нужно еще каким то образом проверить не заблокирован ли запуск cmd, а то скрипт не запустится (Например применить inf).
HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.
 
Последнее редактирование:
Заметил, что в заголовке VLC написано другое название раздела форума.

Правильное название "Бесплатное лечение компьютеров от вирусов".

Ну и зависло у меня (на моем ПК) - лечиться не хочет. :)
Пишет, что Сети нет. Ну как тогда я сюда зашел.

зав.png
 
поэтому я за уменьшение числа посторонних элементов, от которых особой пользы нет.
Ок, ясно. Я за упрощение. Посмотрю, что еще можно сделать. Вдруг чего, ложных детектов на утиль не хотелось бы иметь.
Скажите, а какой процент файловых вирусов, которые изменяют размер EXE
от тех, что модифицируют его без изменения размера?

glax24, спасибо большое за тест.
Итак если CMD заблокирован, с чего делать старт, как думаешь?
Сделать EXE или VBS (запуск скриптов могут заблокировать?), или
в инструкции к сборщику написать - "Если не удается запустить ViruLogs, нажмите правой кнопкой мыши по файлу EnableCMD.ini и выберите "Установить".
1. Зачем 2 ini ViruLogs.ini?
С серверной версией спешил (user-INI, server-INI). Пока так. В сл. версии уберу.
2. Может сделать какую нибудь проверку чтобы не скачивались архивы которые уже идут в наборе, если они ничем не отличаются.
В наборе нет архивов. С целью уменьшения объема сборщика на нашем сервере (~11 Мб) я их не включал.
После второго запуска сборщика архивы повторно уже не скачиваются... только проверяется их обновление.
Хм... можно попробовать включать оригинальные нераспакованные версии, но тогда размер будет чуть большим (дублирование баз AVZ -> кумулятивный архив баз + старые базы, которые в составе самого AVZ). Подумаю.

glax24, на счет антивируса есть догадки. Протестирую. В сл. версии будет по-другому.

1. "запуск AVZ... Обновление баз... ошибка." - это значит, что AVZ при выполнении скрипта обновления записал у себя в логе, что не смог обновиться.
Ну что мне сделать с глюками AVZ? У меня тоже такая ошибка проскакивала (могу попытаться второй и последний раз запускать AVZ в надежде на успех). Может в скрипте для AVZ установить задержку перед стартом...
2. "Затем нажмите ОК" - согласен. Уберу.
3. Проблемы с кнопками в интерфейсе AVZ - замечал... посмотрю, зависит ли это от меня.
4. Лог самого сборщика больше не включаю в архив. Строку кода удалю.
Ну и зависло у меня (на моем ПК) - лечиться не хочет.
Пишет, что Сети нет. Ну как тогда я сюда зашел.
@SNS-amigo, с Вами попробуем решить отдельно. Спасибо за замечание.
Так - зависло или просто не нашло сеть и началась процедура анализа без обновления?
Возможно, пакет потерялся. Увеличу число попыток с 1 на более.
 
Последнее редактирование:
Скажите, а какой процент файловых вирусов, которые изменяют размер EXE
от тех, что модифицируют его без изменения размера?

Мы такую статистику не ведем :) сложно сказать.

Хм... можно попробовать включать оригинальные нераспакованные версии, но тогда размер будет чуть большим (дублирование баз AVZ -> кумулятивный архив баз + старые базы, которые в составе самого AVZ). Подумаю.
А если посмотреть в сторону полиморфной версии avz mini.
 
Мы такую статистику не ведем сложно сказать.
Вместо MD5 я добавлю функционал сравнения размера исходных файлов сборщика и после его запуска (без сторонних утилит).
Если будет разница, в архив попадет дополнительный лог.
А если посмотреть в сторону полиморфной версии avz mini.
Ответил в той теме.
 
Последнее редактирование:
Сделать EXE или VBS (запуск скриптов могут заблокировать?), или
в инструкции к сборщику написать - "Если не удается запустить ViruLogs, нажмите правой кнопкой мыши по файлу EnableCMD.ini и выберите "Установить".
inf более надежней. Например в комплекте с uVS идет _unlock.inf, можно наверное его использовать в случае блокировки.

Но надо спросить у бывалых как лучше поступить в этой ситуации.
 
в комплекте с uVS идет _unlock.inf, можно наверное его использовать в случае блокировки.
В интернете пишут, что inf-файлы работают даже при заблокированном regedit. Жаль, что не знал про их возможности раньше. А возможности достаточно большие (см. MSDN).
_unlock.inf, судя по содержимому, решает большинство проблем блокировки, но почему-то в нём не учтён приведённый выше пример:
HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.
Но формат файла очень простой, поэтому можно легко нарастить функционал.
Единственная проблема - это сложности запуска без прав администратора, но эти сложности касаются любой программы.
 
HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.

Вирусы блокируют в HKCU,HKLM,HKU_SID_MEMBER.
На момент обнаружения неполадки можно временно отключить запрос UAC ,конечно же восстановив потом значения.

+Данная утилита уже стартует с правами админа при запуске системы,соответственно наделяя привилегиями исполняемые сценарии я так думаю.
 
Кирилл ты немного не прав если речь про этот параметр HKCU\SOFTWARE\Policies\Microsoft\Windows\System, DisableCMD.
Если его создать в hklm то блокировки cmd не будет.
 
Нарушение работы CMD может быть вызвано не только политиками.
Подготовлю список.
 
Koza Nozdri, в закрытый раздел токо ж.
В крайнем случае можно упаковать в 7z sfx.

Гимаев Наиль, если что sov44 и gora хорошо разбираются в создании inf-инсталляторов.
Последняя разработка sov была SumatraPDF - silent installer.
 
Последнее редактирование:
Переоформил по-человечески шапку темы.

Спасибо всем большое, что помогаете в разработке утилиты.
 
Последнее редактирование:
Тут (на этой вкладке) первый пост тоже обновил.
 
19beb1846252c50adeaae63bfdfd716d.png

и ещё несколько аналогичных вылетало...
 
regist, спасибо. Значит она скомпилирована без отвязки от сишных либ.
Нужно проверить эту библиотеку на повреждение и перерегистрировать regsvr32 %windir%\system32\msvcp100.dll
В свете перехода на VBS будет неактуально.
 
Скажите, а какой процент файловых вирусов, которые изменяют размер EXE
от тех, что модифицируют его без изменения размера?
Их гораздо больше, ибо изменить файл без изменения размера сложнее. На некоторые exe так и вовсе невозможно.
 
FraidZZ, а вы логи AVZ смотрите? А при файловом заражение? В AVZ уже есть такая проверка, так что ещё раз повторюсь это накручивание не нужных проверок реальной пользы от которых ноль.
+ Есть файловые вирусы, которые заражают только определённые файлы (точней соответствующие определёнными условиям), так что консультант должен уметь видеть файловое заражение по логам утилит, а не по какому-то постороннему логу.можно добавить кучу разных проверок, но нужны и полезны ли они на практике? Думаю, что надо исходить именно из этих критериев.
 
Последнее редактирование:
Пользователь Dragokas обновил ресурс ViruLogs Collector by Dragokas новой записью:

Новый принцип обновления, правки ошибок, новый функционал

Обновления утилит
Добавлено зеркало avz.safezone.cc
Наличие обновлений для AVZ (ядро + базы) теперь проверяется не через интерфейс AVZ, а через парсинг 3 Кб-файла avzupd.zip на сайте z-oleg.com (спасибо Гимаев Наиль)

Файлы
Финальный лог теперь создается в главной папке.
Удалена утилита nircmd.exe

Интерфейс
Добавлено сообщение "Выгрузить защитное ПО" после перезагрузки.
Показ имени установленного антивируса (чтобы обратить внимание)
Профессиональный перевод от Anna...

Узнать больше об этом обновлении...
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу