Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
Нет, я имел в виду выделенный FTP-сервер, на котором можно крутить любые скрипты (такой у знакомого).
Не знаю, какой именно у akoK.

На счет php интересная идея. Нужно помозговать над алгоритмом с товарищем, т.к. о языке и его возможностях мне не много знакомо. Но пока не буду распыляться.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Dragokas, а по поводу сбора логов. можно узнать как решили (или собираетесь) решить проблему с UAC? При запуске юзер допустим разрешит запуск утилиты, а после перезагрузки опять запрос?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
Есть ли общие рекомендации по нейтрализации причин, препятствующих запуску AVZ, созданию контрольной точки (которые целесообразно выполнять в автоматическом режиме перед сбором логов) ?
 

Кирилл

Команда форума
Администратор
Сообщения
14,105
Реакции
6,152
Баллы
993
по авз хэлперы подскажут думаю,по точке восстановления на днях пытался кое что ваять-изложу...
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
583
Есть ли общие рекомендации по нейтрализации причин, препятствующих запуску AVZ, созданию контрольной точки (которые целесообразно выполнять в автоматическом режиме перед сбором логов) ?

Была малварь-убийца AVZ (жаль не найду..) ,так вот помогало переименование (в расширении) исполняемого файла в .pif , .com (в архив с паролем на такой случай (?)). Вообще некоторые вирусы только исполняемый файл удаляют. (win32.sector.5 например)
В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:
"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Была малварь-убийца AVZ (жаль не найду..) ,так вот помогало переименование (в расширении)
много чего было, также было что блокировало окошко для выполнения скрипта. Но это отдельные редкие случаи в которых требуется отдельный подход и в большинстве таких случаев нужен полиморф. Поэтому считаю не нужно изощряться и отходить от правил.
 

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
Не думаю, что стоит заморачиваться в этом. Если случай сложный, то и методика будет отличаться.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
потом, приколюха должна уметь ... закрывать все работающие проги.

Итак, у меня собран список программ (с путями), запускаемых по-умолчанию, отдельно для каждой версии чистой ОС.
Все остальные (другое имя, или другой путь), я могу "гасить", предупредив и дав время пользователю, и это не помешает процессу анализа?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Все остальные (другое имя, или другой путь), я могу "гасить", предупредив и дав время пользователю, и это не помешает процессу анализа?
Ни в коем случае! Конечно же помешает, что тогда лечить?! Если вы все вирусные процессы ещё до создания логов загасите. Имхо, скриптами вообще ничего закрывать не надо. Надо просить об этом пользователя.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Dragokas, рекомендуется оставлять запущенными тока браузеры.

Если вы все вирусные процессы ещё до создания логов загасите.
вместо логов получите один бесконечный синяк
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
Я тоже думаю, что "усиленно" сканируются запущенные процессы.
Это было Сашки предложение.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Я тоже думаю, что "усиленно" сканируются запущенные процессы.
Это было Сашки предложение.
Тупо забивать все процессы не надо.

Иногда настока усиленно сканируются, что лог делается часами.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Сашка, ты предлагаешь Dragokas создать искуственный интелект, который будет вычислять кем запущен процесс и почему и на основание этого выносить вердикт глушить его или нет ? :D:p
Мечтать можно о чём угодно, но надо примерно и понимать, что можно реализовать, а что нет. Поэтому завершение процессов и приостановку защиты антивируса надо оставить пользователю.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Сашка, ты предлагаешь Dragokas создать искуственный интелект,
Регистр, оха))))

если логовыжималка будет автоматическая (а не интерактивная), то достаточно будет закрывать работающие приложения, кроме браузеров.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Сашка, а как определить это приложение установлено пользователем или это какая-то вирусная приблуда?
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
из списка установленных программ закрыть работающие
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
Та могу сделать, шо угодно. Про антивирус уже сделал. Каспер долго упрямился и ничего не замечал, пришлось грузить вирь прямо в память.
Этап обновления тоже готов. Прокси сделал.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Сашка
1) Предложи как это реализовать скриптами vbs и bat, чтобы они автоматом гугли кому принадлежит этот процесс и если он принадлежит программе из списка установленных, то завершали.
2) У меня могут быть установлены программы, но их не будет в списке установленных - многие удаляют оттуда программу, которыми они постоянно пользуются. Так что такое алгоритм проверки не подходит.
Та могу сделать, шо угодно. Про антивирус уже сделал. Каспер долго упрямился и ничего не замечал, пришлось грузить вирь прямо в память.
Этап обновления тоже готов. Прокси сделал.
Dragokas, не надо отключать антивирус автоматом!
1) Отключение всех антивирусов вы не предусмотрите.
2) За это на нашу прогу справливо добавят вирусный детект Trojan.AVKill кто после этого будет нашей программой пользоваться? Я думаю, что в основном вирмейкеры ;).
 
Сверху Снизу