Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Вопросы - зачем это нужно - уже после релиза... рано я поднял этот скользкий вопрос.
Как бы потом всё не пришлось из-за этого переделывать ;).
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
Как бы потом всё не пришлось из-за этого переделывать ;).
Код полностью модульный.
Вариации пожеланий - нравиться/не нравятся по разным функциям - вынесены в ini-файл настроек.
То бишь можно тот же скрипт использовать и как клиентскую и как серверную (для FTP)-часть.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
Перед выполнением диагностики необходимо отключить антивирусное ПО и сетевые экраны. Запустите Internet Explorer и "альтернативные браузеры", которые используются для работы в сети Internet.

1) Не может ли привести эта последовательность действий к еще более сугубому заражению?
Например, отключили AV, запустили браузер (а в нем несколько вкладок), одна из которых заражена, при чем ранее блокировалась AV, а сейчас мы его отключили.

2) Не будет ли критичным, если в процессе работы стандартного скрипта № 2 в памяти будет все время запущенным процесс CMD.exe, ожидающий завершения работы AVZ ?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
После перезагрузки ОС, сразу же стартует Стандартный скрипт № 2.
Думаю, стоит:
1) поставить какую-то задержку (скажем 15 сек.), чтобы стартовали все процессы;
2) или попросить пользователя кликнуть "ОК", когда все более-менее прогрузится.

Как лучше поступить?

3) virusinfo_autoquarantine.zip - такой файл иногда создается AVZ во время выполнения скриптов.
Следует ли рекомендовать юзеру отправить его по почте (или форме) сразу же после создания темы в разделе лечения?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
Следует ли рекомендовать юзеру отправить его по почте (или форме) сразу же после создания темы в разделе лечения?
Нет, не стоит. В 95% там не нужный нам мусор.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
У RSIT как выяснилось - в зависимости от языка локализации системы зависит
2 варианта интерфейса, которые отличаются по приоритетам перехода между клавишами главного окна.
(автозапуск RSIT решил сделать тупым методом - имитации нажатий).

Так вот, она определяет язык по ветке HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language\InstallLanguage (язык установки)
а не по HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language\Default (язык, выбранный для программ, не поддерживающих юникод)
что есть не очень оптимально (т.к. EN система может содержать MUI и в таком случае RSIT запустится все равно на EN-языке).

Пишу чисто для информации (не зря же Process Monitor под лупой смотрел :)).
Твикать реестр перед запуском RSIT, думаю, не буду, дабы не нарушить привычные логи (на EN-системах) и инструкцию.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,404
Реакции
5,907
Баллы
718
ViruLogs Collector by Dragokas

релиз вер. 0.1.7. Готов к тестам.
По многим просьбам выкладываю по-раньше.
Сделано строго по главной инструкции и Вашим рекомендациям.

Описание сделаю, как высплюсь :)

Остальное см. в файле настроек ini
XML:
;;; Конфигурационный файл



[Stages]

;;; Включение/отключение ключевых стадий работы сборщика

; Обновление утилит и баз

Stage.Update=true

; Создание контрольной точки, тест наличия активного антивируса, открытие окна браузера IE и браузера по-умолчанию

Stage.Prepare=true

; Этап сканирования с помощью комплекта утилит (AVZ, RSIT, HijackThis, SITLog)

Stage.Analyses=true



[ScanTools]

;;; Выбор утилит, которые нужно использовать для анализа системы

use_AVZ=true

use_RSIT=true

use_SITLog=true




[AVZ]

;;; Имя
; Переименовать исполняемый файл

AVZ.UsePolymorf=yes
AVZ.PolymorfName=goodfile.pif

; Если базы устарели на N дней, а обновить невозможно, запрещать анализ и просить пользователя скачать новую сборку с SafeZone.cc
; 0 - контроль актуальности отключен

AVZ.DaysOutDated_DenyScan=10

; Не скачивать обновление баз, если прошло менее N дней с момента последней успешной проверки
; 0 - всегда обновлять базы при запуске

AVZ.DaysOutDated=0




[Update]

;;; Не скачивать обновления утилит, если прошло менее N дней с момента последней успешной проверки
; 0 - всегда проверять обновления

Updates.DaysOutDated=0

;;; Сервера обновлений
; ключ -SkipCheckVersion - Форсировать скачивание без проверки, новая ли версия

;; =================== AVZ ==============
; Адреса зеркал

AVZ.link.1=http://z-oleg.com/avz4.zip
AVZ.link.2=http://safezone.cc/resources/12/download?version=13 -SkipCheckVersion

;Альтернативные источники обновления баз AVZ

AVZ.Bases.Link.1=http://z-oleg.com/secur/avz_up/avzbase.zip

;; ================  SITLog  ================
; Адреса зеркал

SIT.link.1=http://tools.safezone.cc/glax24/SIT/SITLog.7z
SIT.link.2=http://komp73.ucoz.ru/SITLog/SITLog.7z

;; ============ Sysinternals Handle ==========
; Адреса зеркал

HANDLE.link.1=http://live.sysinternals.com/Handle.exe

;; =================== RSIT =================
; адреса зеркал

RSITx32.link.1=http://images.malwareremoval.com/random/RSIT.exe
RSITx32.link.2=http://safezone.cc/resources/4/download?version=4 -SkipCheckVersion

RSITx64.link.1=http://images.malwareremoval.com/random/RSITx64.exe
RSITx64.link.2=http://safezone.cc/resources/6/download?version=6 -SkipCheckVersion

;; ================ HijackThis ============= (включен в состав RSIT, SITLog)
;HJT.link.1=http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe




[Proxy]

;;; Прокси сервер
; принудительно задать адрес прокси-сервера, иначе определяется автоматически по настройкам Internet Explorer
; например, ProxyAddress_Force=127.0.0.1:8080

ProxyAddress_Force=




[Interface]

; запускать скрипт в режиме повышенных привилегий

ini.AdminRights=true

; включить режим отладки ошибок

ini.DebugMode=false

; закрывать окно скрипта по завершении всех стадий работы

AutoClose=false
Все построено по модульному принципу.
Можно, например, отключить AVZ для быстрого теста утиля без перезагрузки (use_AVZ=false).

После первого запуска сборка готова для передачи в руки желающим полечиться.
 

Вложения

  • _ViruLogs.zip
    919.7 KB · Просмотры: 20

Кирилл

Команда форума
Администратор
Сообщения
14,105
Реакции
6,152
Баллы
993
[26.10.2013 - 10:16:19,18] - Запуск ViruLogs Collector

[26.10.2013 - 10:16:25,75] - не могу скачать с "http://tools.safezone.cc/glax24/SIT/SITLog.7z"
--2013-10-26 10:16:25-- http://tools.safezone.cc/glax24/SIT/SITLog.7z
Resolving tools.safezone.cc... 178.20.156.139
Connecting to tools.safezone.cc|178.20.156.139|:80... connected.
HTTP request sent, awaiting response... 404 Not Found
2013-10-26 10:16:26 ERROR 404: Not Found.

А сделано просто отлично!
Понравилось что утилита дуракоустойчивая,я сделал все чего она не советовала)))
Даже перезагрузку отменил,полазил по компу и через час перезапустил.
Все ровно-утилита отработала.
 
Последнее редактирование модератором:

glax24

Разработчик
Сообщения
2,001
Реакции
1,484
Баллы
638
Столкнулся с проблемой на одном компе не смог распаковать 7z поэтому теперь SITLog.zip
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Снимок1.JPG
+
после перезагрузки, имхо так-же нужно сделать окно с предупреждением о выгрузке антивирусного ПО.
 

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
А как построена работа с повторными запусками? Что будет с старыми логами?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008

akok

Команда форума
Администратор
Сообщения
19,520
Реакции
13,432
Баллы
2,203
Насколько я понял на тестовом вирусе построена проверка активности антивируса.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Насколько я понял на тестовом вирусе построена проверка активности антивируса.
а оно нужно? Для размышлений http://safezone.cc/threads/test-na-eicar-ili-pochemu-skaner-na-nego-ne-rugaetsja.22247/#post-156471
А как построена работа с повторными запусками? Что будет с старыми логами?

CMD/BATCH:
 :: Не забываю удалить старые логи, если таковые имеются
For %%? in (
"%avz.logpath%\virusinfo_syscheck.htm"
"%avz.logpath%\virusinfo_syscheck.xml"
"%avz.logpath%\virusinfo_syscure.htm"
"%avz.logpath%\virusinfo_syscure.xml"
"%SystemDrive%\rsit\info.txt"
"%SystemDrive%\rsit\log.txt"
"%sit.path%\LOG\SITLog.txt"
"%sit.path%\LOG\SITLog_Info.txt"
) do (
if exist "%logs%\%%~nx?" del /f "%logs%\%%~nx?" >NUL
copy /y "%%~?" "%logs%\*" >NUL
)
:: Если ранее уже делали исследование, переименуем под префиксом _old_Дата_Время
if exist "%logs%\ViruLogs_forum.zip" move /y "%logs%\ViruLogs_forum.zip" "%logs%\ViruLogs_forum_old_%DateToday%_%TimeToday%.zip" >NUL
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,565
Баллы
808
Даже перезагрузку отменил,полазил по компу и через час перезапустил.
А как отменил перезагрузку? Я вот всё делал как она советовала, т.е. представил себя полным юзером выполняющим строго советы утилиты. Но если я не сохраню ничего из тех документов с которыми работаю, автоперезагрузка, мне кажется не очень правильное решение.

А как построена работа с повторными запусками?
Запись в ветку .../RunOnceEx единоразовый запуск.

И ещё такой вопрос, что проверяется и как создаётся контрольная точка скриптом? Так как у меня отключено восстановление системы, причём отключена служба и наблюдение за дисками, но скрипт рапортует об успешном создании к.т.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,727
Реакции
6,013
Баллы
1,008
Drongo, в теории утилита тебе включит службу, а на практике у меня оно осталось отключённым.
 
Сверху Снизу