Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
просто у кого есть регистрация на форуме ЛК надо спросить Олега, может он добавил как и обещал возможность разархивации произвольных файлов.

Добавлено через 1 минуту 37 секунд
через executefile с ключами
тогда и AVZ не нужен и нужна лишняя консольная утилита. Оптимальный вариант спросить Олега Зайцева.

Добавлено через 2 минуты 29 секунд
а чем просто отключать отличается от выгружать?
в моём понимание отключить защиту антивируса это просто её приостановить при этом значок антивирус может висеть в трее, как это сделать обычно на каждом форуме есть инструкция с картинками для каждого антивируса. А выгрузить антивирус это значит выгрузить его полностью с завершением всех его процессов.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
надо спросить Олега
а попросить дядю зайцева все сделать самому не надо? от него вроде бы обещанного 3 года ждут
тогда и AVZ не нужен и нужна лишняя консольная утилита.
аргумент, ниче не скажешь)))
отключить защиту антивируса это просто её приостановить при этом значок антивирус может висеть в трее, как это сделать обычно на каждом форуме есть инструкция с картинками для каждого антивируса. А выгрузить антивирус это значит выгрузить его полностью с завершением всех его процессов.
какие то так можно закрыть, другие выгружать надо
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
от него вроде бы обещанного 3 года ждут
три нет, а полтора года уже прошло.
а попросить дядю зайцева все сделать самому не надо?
а что ты теряешь? У него много вещей реализовано и включается какими-то скрытыми ключами или ещё чем-то, что не описано в справке, а когда начинаешь его спрашивать, то оказывается, что это у него давно уже реализовано и мы глупцы, что этого до сих пор не знаем.

Добавлено через 14 минут 55 секунд
аргумент, ниче не скажешь)))
я имею ввиду, что незачем использовать AVZ чтобы запустить командную строку, которая будет управлять консольной утилитой, если AVZ сам грубо говоря будет запускаться батником. Лучше уж тогда сразу этим батником запускать эту консольную утилиту.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Drongo, спасибо интересная тема, но сейчас в AVZ появилась новая фича работа с WMI напрямую без cmd и прочих изощрений, которая значительно упрощает эту задачу. Тогда просто не было такого функционала в AVZ он появился только в текущей версии.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
regist, в командную строку тоже встроено, при чем не только сокращенный перечень алиасов WMIC, но также доступны все дефолтные классы WMI с отработкой методов.
 

Кирилл

Команда форума
Администратор
Сообщения
14,105
Реакции
6,152
Баллы
993
Я так понял вопрос с антивирусами через перезагрузку -нормальное решение?
 

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
http://www.z-oleg.com/avz.exe - а этот нельзя использовать ? Скорее всего всё равно утилита будет обновляться и с базами проблема решится.

Тогда уж http://www.z-oleg.com/avz_mini.exe

Добавлено через 2 минуты 19 секунд
RSIT вообще чья разработка?
Тут ничего не полчится, разработчик не поддерживает больше утилиту.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Я так понял вопрос с антивирусами через перезагрузку -нормальное решение?
Koza Nozdri, ты о чём? с антивирусами вроде все сошлись на том, что надо давать уведомление пользователю, чтобы он приостановил защиту.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
regist, да это мы так шутим :)
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,484
Баллы
638
akoK, если рсит уже не поддерживается и автор не против можно нам взяться за его поддержку.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
Попытаюсь выйти на разработчика и попросить исходники.

ПО поводу обновлений баз AVZ, то мы можем воспользоваться стандартной пилюлей №5
5. Обновление баз с автоматической настройкой. Производит обновление баз, используя различные настройки. Данная операция полезна в случае, если обновление стандартным способом не проходит и выводится сообщение об ошибке.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,001
Баллы
803
можно нам взяться за его поддержку

Так уже ж...




Правда, во втором абзаце первого окна сразу две ошибки и обе в одном слове, но ничего страшного, на это можно не обращать внимания. Главное - результат. :D

Впрочем в первом абзаце тоже есть... После этого чёт расхотелось жать на кнопку Далее...
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
regist,
А кто знает, как распаковать архив zip средствами avz (об этом функционале упоминалось)?

7za.exe
И запустить на исполнение скриптом AVZ.
PHP:
begin
ExecuteFile(GetAVZDirectory+'7za.exe', 'e '+GetAVZDirectory+'base\avzupd.zip', 1, 10000, true);
end.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
а зачем 7zip скачивать? можно же определить, какой архиватор уже есть и используется для этого:

[HKEY_CLASSES_ROOT\.zip]
@="WinRAR.ZIP"
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
а зачем 7zip скачивать? можно же определить, какой архиватор уже есть и используется для этого:
либо в любой системе должен быть уже встроенный WinZIP уверен, наверняка простой ZIP можно распаковать с помощью vbs им ;).
 
Последнее редактирование:

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
а зачем 7zip скачивать? можно же определить, какой архиватор уже есть и используется для этого:

[HKEY_CLASSES_ROOT\.zip]
@="WinRAR.ZIP"

А зачем он в сборке wpebeta ? Исследуемая система предположительно заражена. Так ведь ? От неё можно всего ожидать.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
а чем просто отключать отличается от выгружать?
Например, для KIS разница огромная.
Судя по логам Process Monitor, при отключенной защите, avp.exe все еще мониторит запускаемые процессы.

14:13:38,9250826,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"

14:13:38,9251094,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9251223,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9252648,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"

14:13:38,9252835,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9252955,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9253801,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, AllocationSize: n/a, OpenResult: Opened"

14:13:38,9254136,"avp.exe","7260","FASTIO_ACQUIRE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","FILE LOCKED WITH ONLY READERS","SyncType: SyncTypeCreateSection, PageProtection: "

14:13:38,9254253,"avp.exe","7260","FASTIO_QUERY_INFORMATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Type: QueryStandardInformationFile, AllocationSize: 16, EndOfFile: 11, NumberOfLinks: 1, DeletePending: False, Directory: False"

14:13:38,9254479,"avp.exe","7260","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9254560,"avp.exe","7260","FASTIO_ACQUIRE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS","SyncType: SyncTypeOther"

14:13:38,9254639,"avp.exe","7260","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9256027,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9256172,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Сверху Снизу