Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,594
Реакции
6,036
Баллы
808
Нет, я имел в виду выделенный FTP-сервер, на котором можно крутить любые скрипты (такой у знакомого).
Не знаю, какой именно у akoK.

На счет php интересная идея. Нужно помозговать над алгоритмом с товарищем, т.к. о языке и его возможностях мне не много знакомо. Но пока не буду распыляться.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Dragokas, а по поводу сбора логов. можно узнать как решили (или собираетесь) решить проблему с UAC? При запуске юзер допустим разрешит запуск утилиты, а после перезагрузки опять запрос?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,594
Реакции
6,036
Баллы
808
Есть ли общие рекомендации по нейтрализации причин, препятствующих запуску AVZ, созданию контрольной точки (которые целесообразно выполнять в автоматическом режиме перед сбором логов) ?
 

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
по авз хэлперы подскажут думаю,по точке восстановления на днях пытался кое что ваять-изложу...
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,839
Баллы
593
Есть ли общие рекомендации по нейтрализации причин, препятствующих запуску AVZ, созданию контрольной точки (которые целесообразно выполнять в автоматическом режиме перед сбором логов) ?

Была малварь-убийца AVZ (жаль не найду..) ,так вот помогало переименование (в расширении) исполняемого файла в .pif , .com (в архив с паролем на такой случай (?)). Вообще некоторые вирусы только исполняемый файл удаляют. (win32.sector.5 например)
В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:
"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Была малварь-убийца AVZ (жаль не найду..) ,так вот помогало переименование (в расширении)
много чего было, также было что блокировало окошко для выполнения скрипта. Но это отдельные редкие случаи в которых требуется отдельный подход и в большинстве таких случаев нужен полиморф. Поэтому считаю не нужно изощряться и отходить от правил.
 

akok

Команда форума
Администратор
Сообщения
20,132
Реакции
13,785
Баллы
2,293
Не думаю, что стоит заморачиваться в этом. Если случай сложный, то и методика будет отличаться.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,594
Реакции
6,036
Баллы
808
потом, приколюха должна уметь ... закрывать все работающие проги.

Итак, у меня собран список программ (с путями), запускаемых по-умолчанию, отдельно для каждой версии чистой ОС.
Все остальные (другое имя, или другой путь), я могу "гасить", предупредив и дав время пользователю, и это не помешает процессу анализа?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Все остальные (другое имя, или другой путь), я могу "гасить", предупредив и дав время пользователю, и это не помешает процессу анализа?
Ни в коем случае! Конечно же помешает, что тогда лечить?! Если вы все вирусные процессы ещё до создания логов загасите. Имхо, скриптами вообще ничего закрывать не надо. Надо просить об этом пользователя.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
783
Dragokas, рекомендуется оставлять запущенными тока браузеры.

Если вы все вирусные процессы ещё до создания логов загасите.
вместо логов получите один бесконечный синяк
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,594
Реакции
6,036
Баллы
808
Я тоже думаю, что "усиленно" сканируются запущенные процессы.
Это было Сашки предложение.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
783
Я тоже думаю, что "усиленно" сканируются запущенные процессы.
Это было Сашки предложение.
Тупо забивать все процессы не надо.

Иногда настока усиленно сканируются, что лог делается часами.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Сашка, ты предлагаешь Dragokas создать искуственный интелект, который будет вычислять кем запущен процесс и почему и на основание этого выносить вердикт глушить его или нет ? :D:p
Мечтать можно о чём угодно, но надо примерно и понимать, что можно реализовать, а что нет. Поэтому завершение процессов и приостановку защиты антивируса надо оставить пользователю.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
783
Сашка, ты предлагаешь Dragokas создать искуственный интелект,
Регистр, оха))))

если логовыжималка будет автоматическая (а не интерактивная), то достаточно будет закрывать работающие приложения, кроме браузеров.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Сашка, а как определить это приложение установлено пользователем или это какая-то вирусная приблуда?
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
783
из списка установленных программ закрыть работающие
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,594
Реакции
6,036
Баллы
808
Та могу сделать, шо угодно. Про антивирус уже сделал. Каспер долго упрямился и ничего не замечал, пришлось грузить вирь прямо в память.
Этап обновления тоже готов. Прокси сделал.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,127
Реакции
6,300
Баллы
1,098
Сашка
1) Предложи как это реализовать скриптами vbs и bat, чтобы они автоматом гугли кому принадлежит этот процесс и если он принадлежит программе из списка установленных, то завершали.
2) У меня могут быть установлены программы, но их не будет в списке установленных - многие удаляют оттуда программу, которыми они постоянно пользуются. Так что такое алгоритм проверки не подходит.
Та могу сделать, шо угодно. Про антивирус уже сделал. Каспер долго упрямился и ничего не замечал, пришлось грузить вирь прямо в память.
Этап обновления тоже готов. Прокси сделал.
Dragokas, не надо отключать антивирус автоматом!
1) Отключение всех антивирусов вы не предусмотрите.
2) За это на нашу прогу справливо добавят вирусный детект Trojan.AVKill кто после этого будет нашей программой пользоваться? Я думаю, что в основном вирмейкеры ;).
 
Сверху Снизу