AutorunsVTchecker

AutorunsVTchecker 2018.08.29

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Реакции
5,929
Баллы
998
Пользователь regist разместил новый ресурс:

AutorunsVTchecker - Проверка файлов из автозапуска на ВирусТотал

Утилита для проверки всех файлов из автозапуска на вирустотал. По сути является ланчером к программе Autorunsc от Марка Руссиновича.

Утилита предназначена для удалённой помощи от вирусов, чтобы не просить пользователя по отдельности проверить разные файлы и ещё объяснять как это сделать, можно просто дать ссылку на эту утилиту и попросить её запустить. По окончанию своей работы она сообщит об этом. Никаких логов...
Узнать больше об этом ресурсе...
 

BORODA(C)

Активный пользователь
Сообщения
118
Реакции
36
Баллы
108
Файл отчёта можно добавить?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Реакции
5,929
Баллы
998
BORODA(C), а описание утилиты читали? Добавить конечно можно, вот только смысла в этом не вижу никакого. В описание это указал и пояснил почему.
А если речь откуда хелперу брать хеши, то они есть и в XML логе от AVZ и в логе uVS, при чём последний сам умеет выводить результат проверки файла, если тот раньше проверялся на ВТ.
 

BORODA(C)

Активный пользователь
Сообщения
118
Реакции
36
Баллы
108
описание утилиты читали?
Эм... нет :) Теперь прочитал.
Вопрос возник только потому, что при запуске на компе на экране шустро мелькали редкие сообщения 1/67. Захотелось посмотреть, что это. Переназначение потока в файл "AutorunsVTchecker.exe > AutorunsVTchecker.txt" не сработало, вот я и спросил. Про опцию Autoruns не знал, спасибо!https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/
 
  • Like
Реакции: akok

vavun

Активный пользователь
Сообщения
117
Реакции
50
Баллы
198
Так то ж обычный 7zsfx ...
Хотя идея неплоха

Если б он умел игнорировать системные файлы было бы интереснее.
А задачи из планировщика оно проверяет ?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Реакции
5,929
Баллы
998
Если б он умел игнорировать системные файлы было бы интереснее.
Наоборот, можно сказать ради них и создалась эта утилита. В логе видишь кучу системных файлов (точней сказать кучу файлов среди системных) и нельзя сказать они легальны или нет. А так будет отчёт по VT и уже точно видно.
А задачи из планировщика оно проверяет ?
Да.
 

vavun

Активный пользователь
Сообщения
117
Реакции
50
Баллы
198
Пока еще подпись майкросовтовскую никто не скомпрометировал, можно от этого отталкиваться.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Реакции
5,929
Баллы
998
vavun,
1) Многие MS файлы не подписаны.
2) Пожалуйста, объясните, как вы собираетесь проверять подпись по логу AVZ ?
 

vavun

Активный пользователь
Сообщения
117
Реакции
50
Баллы
198
vavun,
1) Многие MS файлы не подписаны.
2) Пожалуйста, объясните, как вы собираетесь проверять подпись по логу AVZ ?
1) например ?
2) про авз ни слова, да и обсуждается тут не он. Разве нет ?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Реакции
5,929
Баллы
998
1) Думал сначала дать полный путь к файлу, потом решил что так трудно проверить есть подпись у файла и нет. Поэтому ссылкой на VT. Все файлы взяты из лога с моей системы win 7 x32
И разумеется это просто несколько файлов для примера, а когда начнёшь детально изучать систему по логам, то понимаешь, что таких файлов минимум десятки, а то и сотни.
2)
про авз ни слова, да и обсуждается тут не он. Разве нет ?
А вы описание утилиты читали? Точней для чего она предназначена?
 

vavun

Активный пользователь
Сообщения
117
Реакции
50
Баллы
198
regist,
1) а все же дайте, у меня таких файлов в системе не нашлось (по крайней мере первых четырех, дальше не стал смотреть)
2) Пардон, виноват
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Реакции
5,929
Баллы
998
таких файлов в системе не нашлось (по крайней мере первых четырех, дальше не стал смотреть
всё-таки попробуйте с конца, там уже с другого каталога взял. А первые возможно от набора обновлений зависят.
 

vavun

Активный пользователь
Сообщения
117
Реакции
50
Баллы
198
Это у меня урезаная сборка установлена (тапками не кидайтесь, делал сами и исключительно для себя).
Нашел искомые файлы на вируатлке с оригинальной семеркой.
Так то компоненты .NET. Не очень понимаю какое отношение к автозапуску они имеют
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Реакции
5,929
Баллы
998
Не уверен, что это именно те на которые выложил ссылки (я их не помечал), но вот файлы от MS без подписи
Код:
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS7\MSDDSF.DLL
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS7\MSDDSLM.DLL
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VISUAL DATABASE TOOLS\VDT70.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\B6F386CA9AAC902DE13B29ACEC7EE138\ASPNETMMCEXT.NI.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\F416E1D90FF555B7E02A5A5E1C1F2510\ASPNETMMCEXT.NI.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\EHRECOBJ\89DF33050E8819479D1FFBD06560BE1A\EHRECOBJ.NI.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_32\PRESENTATIO49D6FEFE#\A1BBBDFBB2BFC6651D4E67B28D4580ED\PRESENTATIONFRAMEWORK-SYSTEMXML.NI.DLL
C:\WINDOWS\ASSEMBLY\NATIVEIMAGES_V4.0.30319_32\PRESENTATIO84A6349C#\7D5388EA8EFA0EDEBEB3BFB701A3011F\PRESENTATIONFRAMEWORK-SYSTEMCORE.NI.DLL
Не очень понимаю какое отношение к автозапуску они имеют
ещё раз перечитайте описание утилиты и для чего она предназначена. После этого ответьте, вы дадите гарантию, что среди них не будет спрятан вирусный файл?
И на всякий случай сразу скажу, что вирусы, которые прячут части себя в недрах среди системных файлов, так что даже не во всех логах есть мне уже не раз встретились. Поэтому и пришлось сделать эту утилиту. Только не просите ссылку, под рукой такой темы нет и в последние несколько недель не встречались.
 

vavun

Активный пользователь
Сообщения
117
Реакции
50
Баллы
198
Я вот что то не пойму.
Отрабатывает софтина, допустим находит нечто нечистое и продолжает работать дальше. После отработки закрывается.
И всё ? Окно то закрывается cmd-шное. Да и "буфер" у него не бесконечный (или как оно правильно называетя)
При достаточно большом выводе он весь не хранится в окне cmd.

Может лучше cmd.exe /k вместо cmd.exe /c раз уж не планируются логи ? (А еще лучше cmd.exe /d /k )

Я ни в коем случае не собирасюь вам советовать, как лечить вирусню, я в этом ничерта не понимаю, но слегка улучшить функционал этой софтины прямо таки очень хочу.

autorunsc_x86.exe
autorunsc_x64.exe
Код:
RunProgram="cmd.exe /d /c \"color 17 & title AutorunsVTchecker & \"%%T\\autorunsc_%%P.exe\" -accepteula -nobanner -a * -vt -vs 2>&1 >>\"%UserDesktop%\\VT_LOG.txt\""
AutoInstall="cmd.exe /d /k \"color 17 & title AutorunsVTchecker & \"%%T\\autorunsc_%%P.exe\" -accepteula -nobanner -a * -vt -vs\""
Почему бы не сделать к примеру вот так ?
Два варианта работы
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,459
Реакции
13,367
Баллы
2,203
vavun, для второго варианта проще создать лог самого Autoruns, который сделает аналогичную процедуру и покажет всю информацию в удобоваримом виде + еще и лог создаст для анализа Как подготовить лог Autoruns
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,115
Реакции
5,894
Баллы
648
vavun, вот сам же пишешь, что буфер CMD не бесконечный. Это у нас с тобой могут быть другие настройки, которые мы себе сделали для удобства.
А у обычного юзера буфер = 300 строк. На проверку 1 файла уходит 12 строк. Итого, 25 файлов максимум, а остальная часть обрежется. Да, и вообще неудобно смотреть такой лог в окне консоли.
И собственно, это и не нужно. Утилита назначается для помощи хелперам, а не самостоятельного анализа юзерами найденных (возможно даже, ложных) срабатываний по отчёту VT. В итоге, может оказаться даже хуже, если юзер увидит этот файл и решит самостоятельно выполнить с ним какие-то действия.
Хелпер же получает инфу с привязкой к VT совсем через другие программы.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Реакции
5,929
Баллы
998
cmd.exe /k вместо cmd.exe /c
не вижу пользы, скорее даже наоборот.
подумаю над этим если соберусь обновлять утилиту, пока вроде реализовано всё что хотел и обновлять не вижу смысла.
Почему бы не сделать к примеру вот так ?
Два варианта работы
Могу ещё раз посоветовать почитать описание утилиты, либо хотя бы почитайте посты в этой теме перед вашими. Как раз этот вопрос обсуждался.
 
Сверху Снизу