Парсер умеет работать только с логом XML или парой логов XML + HTM, созданных AVZ версией не ниже 4.32, а также с логами AVPTool.

Это можно сделать четырьмя разными способами:
1) Перетащить zip архив с логами на окно парсера.
2) Перетащить файлы логов на окно парсера.
3) Перетащить .zip архив с логом на значок/ярлык парсера.
4) Открыть файлы логов через меню Файл -> Загрузить логи.

В нижнем левом углу на панели подсказок загруженные логи подсвечиваются красным, не загруженные - чёрным.

Папка Base - содержит базы, по которым определяется\исключается какой-либо файл
Папка Script - содержит набор скриптов, которые при определённом заражении подставляются в основное тело скрипта. В эту папку также можно добавить свой набор скриптов и потом вызывать их через меню парсера "Пользовательские скрипты". Файлы скриптов могут иметь любое расширение, например .txt, .pas, .avz. При вызове из этого меню скрипт будет открыт в редакторе, назначенным по умолчанию для этого типа расширения.
Папка Template - содержит файлы стандартных форм ответов для различных форумов Ассоциации.
Папка Help - содержит файлы readme.html и logo.png. Используется при вызове справки через кнопку Справка в меню парсера.
Папка LogAVZ - используется как временная папка для распаковки логов из архива. При устранении ошибок появится исправленный файл fixed.xml

Открыть файл Recommendations.ini из папки Base и исправить номер версии в параметре CurrentAVZVer в подразделе [AVZVERSION].
Это нужно для того, чтобы парсер мог проверить сделаны логи актуальной версией AVZ или нет. Если версия устарела, будет рекомендация скачать актуальную версию.

В этой секции выводятся адреса, которые не прошли сверку со списком известных диапазонов IP-адресов сайта. Для того, чтобы самостоятельно пополнить список диапазонов, надо:
Открыть файл LegalDNS.txt из папки Base и вписать в нужную секцию регулярное выражение, охватывающее только нужный диапазон IP-адресов. Перед тем, как пополнять список легальных DNS, обязательно убедитесь, что данный IP действительно принадлежит этому сайту и что регулярное выражение правильно составлено. Также рекомендуем сообщить этот IP в теме разработки парсера, чтобы этот диапазон добавили и в общие базы.

Да, можно. Для этого нажмите кнопку "анализ лога". Для возврата в окно рекомендаций, нажмите её снова.

Они означают - по какой базе или пункту определился зловредный файл. Если файл определился по одной из баз (Malware, HashBase, BlackService, Heuristic, Common MD5), то соответствующий признак будет указан в квадратных скобках после имени базы [имя базы] [имя файла из базы].

---

[Malw:FILES] - имя файла было найдено в базе Malware в секции FILES, вместо FILES может быть другая секция.
[BlackService] - имя службы было найдено среди вирусных служб в базе ServiceList.
[HashBase] - имя файла было найдено в базе HashBase.
[Heuristic] - эти файлы были удалены эвристикой.
[Common MD5] - MD5 этих файлов совпали с хешем зловредов, удалённых по другим признакам.
[List of remote] - работает для удаления служб и драйверов. В эту категорию попадают службы, исполняемый файл которых ранее попал по другим признакам под удаление.
[PID Control] [25] - эвристический поиск dll через PID процесса, который их использует. Также зависит от кол-ва процессов, которые используют эту dll. [25] - кол-во процессов, использующих эту dll. Кол-во процессов указывается не всегда (зависит от способа, которым эвристика задетектила этот файл). В случае ложного срабатывания надо увеличить Количество используемых PID = (по умолчанию =3).
[Shell Control Key], [System Control Key], [Userinit Control Key] - автозапуск вируса через стандартные ключи реестра, таких как Shell, System, Userinit.
NationalName=Y - в имени файла или в пути до файла содержатся интернациональные символы.
[http://] - запуск сайта через командную строку.
[wmic.exe] - удаление из планировщика задач соответствующего задания.

В анализе лога вы можете увидеть записи, наподобие:
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\5h9h8yyv.exe
[Malware]-[\temp\] - C:\WINDOWS\Temp\97B8057A-5EF88BA2-C66C0F5A-323B8F24\rgrwbo64.exe
Эти записи попали под удаление по базе малвари, но были исключены из скрипта, т.к. эвристика определила, что это файлы от CureIt.

Это сделано специально, чтобы можно было понять откуда в скрипте взялась эта команда. В скрипте она выглядит так RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3d4f8ce4150375f2ff93203811178f37');
справа в секции автозагрузки всё равно выводится [Run] iexplore.exe >>> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 3d4f8ce4150375f2ff93203811178f37

В столбике справа:
ID Error: -1072896755 - в логе XML ошибка из-за неправильного вывода символа & его следует заменить на &.
ID Error: -1072896759 - в логе XML отсутствует пробел между атрибутом CheckResult и предшествующему ему.
ID Error: -1072896760 - лог XML содержит строку с символом NULL. Иногда это юникодный специальный символ, который AVZ отображает как NULL или в системе не установлен использовавшийся шрифт.
ID Error: -1072896764 - в логе XML не экранированная двойная кавычка в параметре "CmdLine" секции <PROCESS>. Нужно заменить " (эту кавычку) на &quot;.
ID Error: -1072896684 - в логе XML ошибка из-за двух одинаковых атрибутов в одной строке. Ошибка появилась с версии AVZ 4.41. Для исправления ошибки нужно открыть XML лог в любом текстовом редакторе и удалить параметры Is64="1". Удобно делать через "поиск и замена". Находим Is64="1" заменяем везде на ничего не указываем, либо можно заменить на пробел, сохраняем XML лог, перезапускаем парсер и обрабатываем исправленный лог.
Для автоматического исправления этих ошибок можете воспользоваться утилитой AVZ Logs Fixer, скачать можно по ссылке http://safezone.cc/resources/75/
Для автоматического открытия лога в парсере после фикса в настройке AVZ Logs Fixer укажите путь к парсеру AVZ.

---

Cannot open file "C:\ParseAVZ\ParseAVZ\Script\CleanMonitorProvider.txt". Системе не удаётся найти указанный путь. - убедитесь, что по этому пути у вас лежит указанный файл.
* имя файла указанного в ошибке может быть другим.

1. Выбрать требуемый для нужного форума. При этом шаблон ответа сразу будет вставлен в буфер обмена.
2. Если требуется, то отредактируйте ответ. Например, вписав строки для фикса в HiJackThis.
3. Если на предыдущем шаге редактировали, то нажать кнопку "Копировать" и вставить ответ на форум.

---

Если требуется изменить/добавить/удалить заготовку шаблона, то нажмите меню "Файл" -> "Включить режим правки шаблона".
P.S. Для корректной работы шаблона в заготовке обязательно должно присутствовать слово: $SCRIPT$

Открыть меню "Менеджер баз", затем в выпадающем списке (в левом верхнему углу окна) выбрать "Malware", выбрать соответствующую секцию для добавляемой записи "FILE", "EXT", "REGEXP", "DIR" или "DIRMASK" нажав соответствующую кнопку. Заполнить соответствующие поля:
Название: - обязательный параметр, для поиска соответствия. Вписываем сюда имя файла/регулярку/папку, в зависимости от того, какую секцию мы выбрали.
Дата добавления: - дата добавления записи в базу. Заполняется автоматически.
Рекомендации: - вывод рекомендации хелперу в правой части парсера (например, напоминание сменить пароли). Необязательный параметр. Описание: - пометка для себя, чтобы помнить к какому семейству вирусов относится эта запись или любой другой заметки. Необязательный параметр, но желательно его указывать, чтобы потом легче было вспомнить для чего добавили эту запись и насколько она актуальная.

В секциях с папками дополнительно доступны следующие параметры: "QuarantineFileF", "DeleteFileMask", "DeleteDirectory".
Поставьте галочки около нужных команд, чтобы они добавились в скрипт, если будет найден соответствующий вирус.
При использовании команд QuarantineFileF, DeleteFileMask выберите нужный тип маски
По умолчанию - маска задаётся в секции [ActionDefault] в файле настроек Base\Recommendations.ini
Все файлы - соответствует маске '*'
Свой вариант - вписываете свой вариант маски.

Отличия между секциями в категории Malware:
"FILE" - для добавления имени файла, либо имени и части пути.
"EXT" - для добавления расширения файла. Все файлы с этим расширением автоматически попадут в скрипт.
"REGEXP" - для добавления регулярных выражений.
"DIR" - для указания папки с вирусом. Под удаление попадут все файлы из лога, находящиеся в этой папке. Можно указывать кусок пути, состоящий из нескольких папок.
"DIRMASK" -

Исключение, если имя файла есть в базе IgnoreFiles.txt

---

Перед тем как добавлять имена зловредов, пожалуйста, учтите: Бессмысленно вносить в список имена вирусов созданных рандомно, так как в 99,9% эти имена никогда не будут использованы в поиске, а время, необходимое программе на их обработку и проверку, будет использоваться "вхолостую".
Внимание: перед тем как пополнять базу "Malware", пожалуйста убедитесь, что нет легальных файлов с таким именем и что это имя часто встречается в логах. В противном случае проку от этой записи будет ноль, а время анализа скрипта увеличится.

Да, регулярные выражения также поддерживаются для базы нелегальных файлов, легальных служб, служб обычных вирусов, списка файлов игнорирования (IgnoreFiles.txt), а также для LegalDNS.txt
При добавление регулярных выражений в базу "IgnoreFiles.txt", а также в через менеджер баз, а также при добавление "легальной службы" и "службы обычных обычных вирусов" (база "ServiceList") в начале строки перед регулярным выражением надо указать префикс: regexp#

Открыть меню "Менеджер баз" в выпадающем списке выбрать "ServiceList" убедиться, что нажата кнопка "Службы обычных вирусов", заполнить поля и нажать кнопку "Добавить". Также если файл или драйвер службы не рандомный, то добавить имя драйвера в список Malware. Рекомендую также прочитать: Как правильно добавить зловредный файл в базу?

Добавить уникальное вхождение, которое будет оригинально для исключаемой строки в файл IgnoreFiles.txt. Например: \test\, все файлы, содержащие папку \test в своём пути, будут игнорироваться. На практике для более точного исключения только чистых желательно указывать более длинный путь. Например, в список игнора добавлять не \aston2\, а \aston2\aston2.exe. А так как на х64 системах этот файл находится тоже в \aston2\aston2.exe, то правильней добавить program files\aston2\aston2.exe.
Если необходимо добавить в исключения службу, то нужно добавить ещё имя службы в LegalService.txt.

Можно, но эта проверка работает очень медленно, всего четыре запроса в минуту и анализ среднего лога будет занимать более десяти минут. Так что, попробовав её в деле, решили временно отказаться от неё.

Для упрощения работы с парсером в нем предусмотрена поддержка типовых "горячих" клавиш:
CTRL + Z - отмена последней правки.
CTRL + C, CTRL + Insert - копировать в буфер.
CTRL + X - вырезать в буфер.
CTRL + V, SHIFT+Insert - вставить из буфера.
CTRL + A - выделить все.
SHIFT + Delete - очистить все.
CTRL + Y - удаление текущей строки
Для быстрой вставки команд:
CTRL + P - вставить TerminateProcessByName(' ');
CTRL + T - вставить "пару" QuarantineFile('',''); и DeleteFile('');
CTRL + Q - вставить QuarantineFile('','');
CTRL + W - вставить QuarantineFileF('','*', true,'',0 ,0);
CTRL + F - вставить DeleteFile(''); (если курсор находится в левой части парсера).
CTRL + F - оформить файл командами (если курсор находится в правой части парсера).
CTRL + B - вставить DelBHO('');
CTRL + L - вставить DelCLSID('');
CTRL + M - вставить DeleteFileMask('', '*.*', true);
CTRL + D - вставить DeleteDirectory('');
CTRL + Del - Карантин и удаление папки
CTRL + R - вставить ExecuteRepair();
CTRL + J - вставить удаление задания через schtasks.exe
CTRL + G - вставить "пару" Begin и end.

---

Для того, чтобы автоматически вставить в команду путь к файлу/папке/имени задания/BHO/CLSID, содержащийся в буфере обмена, дополнительно удерживайте нажатой кнопку Shift. Например, для удаления файла скопируйте полный путь к этому файлу, а потом в парсере нажмите Shift + Ctrl + T.

---

Для пользовательских скриптов:
CTRL + цифра - Открывает скрипт, соответствующий этой комбинации в редакторе по умолчанию. Посмотреть какая цифра какому скрипту соответствует можно в меню Пользовательские скрипты. Обратите внимание, при добавлении или удалении заготовок скрипта в папке \Script нумерация может меняться.

Выделите полный путь к файлу. Нажмите комбинацию клавиш "Ctrl + F" или ПКМ - Оформить файл командами.
Если это .exe файл, он обрамится тремя командами: остановка процесса, карантин и удаление файла. Для всех остальных просто карантин и удаление.
Если указан ключ/параметр реестра, то для удаления вместе с ним выделите всю строку целиком. Это удобно сделать щёлкнув три раза левой кнопкой мыши на строке. А затем нажимаем Ctrl + F. Скопируйте команды в скрипт в левой части парсера.

Нажмите ПКМ -> Отменить или комбинацию клавиш "Ctrl + Z".

Начиная с версии 4.43, AVZ считывает название ОС из реестра из параметра ProductName и добавляет в лог полное название версии ОС. В логах, сделанных более ранними версиями AVZ, есть только номер версии ОС и возможны ошибки, так как:
Если в логе Windows XP x64 (5.2.3790), то парсером она будет определяться как Windows Server 2003. Если Windows Vista (6.0.6002), то парсером она будет определяться как Windows Server 2008 R2 - это не ошибка, просто у этих систем одинаковые номера билдов и по логу AVZ их отличить не возможно. Подробней читайте здесь: http://safezone.cc/posts/138848/
В остальных случаях, пожалуйста, сообщите разработчику (или укажите в теме обсуждения парсера) название системы и номер билда Windows. Последний можно посмотреть в начале XML лога, например:

OS_MjVer="5" OS_MiVer="1" OS_Build="2600" BootMode="0" OS_CSDV="Service Pack 3"

Откройте файл Recommendations.ini. В секции [ActionDefault] измените значение параметра MASKQuarantinFileF на нужное.
Для DeleteFileMask аналогично, только изменяем параметр MASKDeleteFileMask.

Откройте Меню консультанта и отметьте пункт Включить проверку скрипта. После этого парсер вас попросит указать путь к утилите, которая будет использоваться для проверки. На данный момент есть две утилиты, которые поддерживают работу с парсером и могут использоваться для проверки. Это "Редактор скриптов AVZ" и "Сортировка команд в скрипте AVZ по рекомендуемому шаблону".
В файле \Base\Recommendations.ini в секции [ScriptEditorAVZ] в параметре RunKey можете указать необходимые ключи запуска утилиты.
С включённой опцией проверки скрипта он будет скопирован и передан на обработку указанной программе. Обработка скрипта происходит в главном окне парсера при нажатии кнопки "Копировать скрипт", в окне "Шаблоны ответов" при выборе шаблона ответа и при нажатии кнопки "Обновить скрипт". При нажатии этих кнопок в окне "Шаблоны ответов" и после обработки скрипта он также будет помещён в буфер обмена.

AutoAnalizy — после перетаскивания архива с логами автоматически нажимается кнопка анализа. Ключ можно писать просто через пробел, либо со слешем. Регистр букв значения не имеет.
Путь к файлу/архиву с логами — можно в командной строке через пробел задать путь к zip-архиву с логом, либо полный путь к .html / .xml файлам лога

Примеры запуска с командной строки:

"D:\путь к папке\ParseAVZ\ParseAVZ.exe" /AutoAnalizy
"D:\путь к папке\ParseAVZ\ParseAVZ.exe" autoanalizy "D:\путь к папке\virusinfo_syscure.zip"
"D:\путь к папке\ParseAVZ\ParseAVZ.exe" "D:\путь к папке\avz_sysinfo.htm" "D:\путь к папке\avz_sysinfo.xml"

ответ