AutoLogger [regist & Drongo] 2021-10-20

[Dragokas]

Угу. Так и есть.

Спойлер

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\7za.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\Akelfiles\AkelFiles\Updater.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\Bat_To_Exe_Converter.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\hidcon.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\makensislog.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\notepad.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\ResHacker.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\resutl.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\SfcPatch.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\files\wget.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\MyAkelPad\AkelFiles\AkelAdmin.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\MyAkelPad\AkelFiles\AkelUpdater.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\MyAkelPad\AkelFiles\Tools\AStyle.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\MyAkelPad\AkelFiles\Updater.exe
c:\users\Alex\Favorites\AkelPadBuilderNEW\MyAkelPad\AkelPad.exe
c:\users\Alex\Favorites\SETUP.EXE
c:\users\Alex\Favorites\setup\OLDMSDOS\MSD.EXE
c:\users\Alex\Favorites\setup\OLDMSDOS\QBASIC.EXE
c:\users\Alex\Favorites\setup\PSSUTIL\ACPIHCT.EXE
c:\users\Alex\Favorites\setup\PSSUTIL\CDINFO.EXE
c:\users\Alex\Favorites\setup\PSSUTIL\DOSREP.EXE
c:\users\Alex\Favorites\setup\PSSUTIL\WINREP.EXE

 

[regist]

ComboFix похоже автоматически удаляет AutoLogger.

Просто эвристическая реакция на папку "Избранное". В таких случаях юзера стоит попросить перенести в другую папку, например в папку "Мои документы".

 

[regist]

5. 7z.exe и 7z.dll (решено было использовать ключи удаления файлов после упаковки)

заменил на 7za.exe от версии 9.34 alpha.

 

[Phoenix]

А вот тут почему у вас http://google.ru/ - из логера хром виснет - не может редиректнуться --> https://www.google.ru/?gws_rd=ssl
Может так лучше ? https://www.google.ru/

begin
     //MessageDLG(RunBrowser3 + browser + RunBrowser4 +#13#10+RunBrowser5, mtInformation, mbOk , 0);
     ExecuteFile('cmd.exe', '/c start https://www.google.ru/ & exit', 0, 15000, false);   // запуск браузера по умолчанию
     ExecuteFile(GetEnvironmentVariable('ProgramFiles') + '\Internet Explorer\iexplore.exe' , 'https://www.google.ru', 1, 15000, false); // запуск IE
   end.

 

[ScriptMakeR]

Если что проще гугл заменить на другой сайт .

А в этом случае важен сайт, или нужно просто открытие Internet Explorer? Может, просто сам процес запускать?

 

[regist]

А в этом случае важен сайт, или нужно просто открытие Internet Explorer?

ScriptMakeR, ответ на ваш вопрос написан в сообщение которое вы цитировали задавая его

Для автологера главное, чтобы запустился браузер

 

[ScriptMakeR]

regist,
Тогда зачем гугл запускать? Не проще сам ИЕ запустить и все?

 

[regist]

ScriptMakeR, возьмите соберите логи на своей машине и посмотрите, вопросов будет меньше. IE там запускается. Даже в скрипте с которого началась эта дискуссия указан запуск IE.

 

[avely]

При проверке браузеров из 3х установленных запускается только IE. В может быть причина?

 

[regist]

avely, из описания автологера

Проверку браузера по умолчанию и запуск IE и браузера по умолчанию.

Так что вариант №1 IE у вас стоит браузером по умолчанию, тогда ничего больше запускать не должно.
Вариант №2 какой-то сбой в системе или сам браузер кривой, например в теме отписывали про багу с браузером Uran. При этом другие браузеры на основание Хрома нормально работают.
Но это всё предположения. Для того чтобы ответить точней нужны репорты, подробней в FAQ

Q: Во время работы AutoLogger вылезла ошибка, он прервал свою работу не отработав до конца. Что мне делать?
A: Для того чтобы помочь разобраться из-за чего это произошло....

 

[regist]

Пользователь regist обновил ресурс AutoLogger [regist & Drongo] новой записью:

Обновление

• Исправлено: на англ. системах в логе (и в свойствах файла) отображались вопросительные знаки вместо описания файла.
• При сборе логов AutoLogger-ом логи теперь изначально создаются в подпапке AutoLogger-а (раньше создавались в корне системного диска, а потом переносились).
• Окно RSIT с просьбой выбрать период сканирования за 3 месяца больше не выводится.
• Текст в информационном окошке AVZ перед запуском RSIT заменён на просьбу согласиться с лицензионным соглашением HiJackThis....

Узнать больше об этом обновлении...

 

[Roman_Five]

7z.exe (в предыдущей версии) и 7za.exe (в новой) - этот один и тот же файл?
раньше в папке AVZ был файл 7z.exe. убрали?

 

[regist]

7z.exe (в предыдущей версии) и 7za.exe (в новой) - этот один и тот же файл?
раньше в папке AVZ был файл 7z.exe. убрали?

7za.exe: поддержка только для некоторых форматов 7-Zip.
7z.exe с 7z.dll: поддержка всех форматов 7-Zip.

Поскольку для AutoLogger требуется только работа с zip архивами, то ему вполне достачно автономного 7za.exe, да и связка 7z.exe + 7z.dll по размеру получается больше, чем 7za.exe.
Но дело в том, что мы использовали ключ командной строки

- new -sdel switch to delete files after including to archive.

который появился только в версии 9.30 alpha 2012-10-26. Использование этого ключа даёт возможность удалять логи, только в случае их успешного архивирования.
А 7za.exe собирается только для бета версий, так что для того чтобы пользоваться этим ключом нам пришлось использовать альфа версию 7-zip и связку 7z.exe + 7z.dll. После того как Игорь собрал и выложил 7za от свежей версии заменили на него + после этого ещё успели пару раз обновить файл до актуальной версии по мере выхода новых версий 7-zip.

 

[Roman_Five]

спасибо за разъяснения.
пользователи только вчера начали жаловаться на мой скрипт по архивированию карантина через 7z.exe (использую пароль infected для возможности отправки на http://newvirus.kaspersky.ru )

 

[regist]

(использую пароль infected для возможности отправки на http://newvirus.kaspersky.ru

Roman_Five, я в курсе, что там официально написано, что надо архивировать с паролем "infected", но на практике робот ЛК который сортирует карантины понимает все три стандартных вирусных пароля. Правда конкретно через ту форму я не проверял, но на ньювирус если слать или из личного кабинета, то понимают. Так что проверь, скорее всего можно и стандартно командой CreateQurantineArchive.

 

[Roman_Five]

Правда конкретно через ту форму я не проверял

я проверял.
принимает ТОЛЬКО infected.
в теме по тестированию Миша и Александр предлагали сделать отправку и с паролем virus, но кроме обещания подумать ("запишем в список пожеланий" (с) ), ничего не произошло.
http://forum.kaspersky.com/index.php?showtopic=306723

 

[mike 1]

http://forum.kasperskyclub.ru/index.php?showtopic=46055

Аваст ругается на Автологгер.

 

[KPOBOCICb]

Есть темка, куда писать, если ошибку в интерфейсе autologger-а нашел? Чтобы исправили, а то фи как некрасиво.

Спойлер: хрясь

 

[regist]

ошибку в интерфейсе autologger-а нашел

это ошибка в интерфейсе в AVZ, писать соответственно Олегу Зайцеву либо на форуме вирусинфо, либо на форуме ЛК. Но проблема в том, что ему про это (указанное на вашем скрине) уже несколько раз писали, но фиксить он похоже не собирается .
Если не сложно просьба напишите ему на одном из указанных форумов, чем больше человек об этом сообщат тем выше (по идее) приоритет бага и больше вероятность, что его всё-таки исправят. Тем более на форумах ЛК также используют эту утилиту для сбора логов.

 

[mike 1]

это ошибка в интерфейсе в AVZ, писать соответственно Олегу Зайцеву либо на форуме вирусинфо, либо на форуме ЛК. Но проблема в том, что ему про это (указанное на вашем скрине) уже несколько раз писали, но фиксить он похоже не собирается .
Если не сложно просьба напишите ему на одном из указанных форумов, чем больше человек об этом сообщат тем выше (по идее) приоритет бага и больше вероятность, что его всё-таки исправят. Тем более на форумах ЛК также используют эту утилиту для сбора логов.

Вроде как исправили в полиморфе.