Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

regist, в общем да. Распаковка ZIP на VBS есть, начиная с Win XP:

PHP:
Set oShellApp = CreateObject("Shell.Application")
oShellApp.NameSpace(sTargetFolder).CopyHere oShellApp.NameSpace(sZipFile).Items

Только она завязана на GUI, запускается асинхронно в новом потоке и не имеет средств отладки ошибок.

Поэтому хотелось увидеть возможности самого AVZ.
Иначе, использую консольный 7z.

Koza Nozdri, речь идет о распаковке лога AVZ, внутри которого хранится версия его баз.
Хотя я уже потерял нить, зачем мне вообще знать эту версию. Где-то на z-oleg можно сравниться?
 
Последнее редактирование:
Ну действительно, если нет сети, то что даст проверка баз ? Если сеть есть, то и скриптом обновить..
ExtUpdates=[Y|N] - включение режима расширенного обновления, для обновления баз на WEB серверах. В обычном случае AVZ загружает базы и обновленную базу можно вручную скопировать в любой другой каталог, но если открыть доступ к папке BASE по FTP или HTTP, то AVZ не сможет обновляться из нее, так как в папке BASE отсутствует описание состава баз avzupd.zip, применяемое для инкрементного обновления. Задание ключа ExtUpdates=Y приводит к тому, что в процессе обновления данный файл будет скопирован в папку BASE
 
Хотя я уже потерял нить, зачем мне вообще знать эту версию
имхо, это из-за того, что нет чёткого алгоритма что надо реализовать (сори, если ошибаюсь) в итоге получается лебедь, рак и щука, каждый предлагает свои идеи в итоге вместо автоматической логовыжималки? как понял Phoenix уже предлает свой Live CD.
1) Свой Live CD делать в любом случае не будем, раньше уже у safezone он был и проект закрыли, так как это нарушение eula
2) +1 к Сашка, при чём здесь вообще все эти сборки если изначально стоит вообще другая задача - автоматизировать процесс сбора логов.
---------------------------
Насчёт автоматического обновления уже в теме писал, нет смысла тупо всегда его запускать. Часто лечение просходит на машине, где нету интернета (просто нету его физически, либо проделки вируса, либо ещё что-то). Поэтому считаю, что когда юзер скачивает у нас сборку она должна быть сразу готова к использованию, а не так что юзер скачал на работе сборку - приходит домой делать логи (дома предположим инета нет, такое реально в моей практике несколько раз было). Утилита пытается обновиться ругается, что нету интернета, а юзер ругается на нас мол почему старая я у вас скачал последнюю версию только сегодня.
По этой причине базы в утилите должны регулярно обновляться и желательно либо автоматизировать процесс обновления баз в сбоке или процесс сборки, но это имхо вторая часть и всё это нужно делать потом.
Теперь если юзер только скачал у нас сборку со свежими базами, то зачем ей лезть в интернет и заново их качать?

Зачем проверять версию баз? Юзер уже у нас лечился несколько месяцев назад и думает, а нафига мне тратить трафик и качать всё заново, у меня уже есть утилита давай сделаю ей. Любой хелпер знает, что юзеры переодически делают логи не только со старыми базами, но и старыми версиями. Мне в прошлом месяце попался лог сделанный версий 4.32 я не знаю в каком загажнике юзер её откопал, но такой был лог и время от времени такие логи попадаются (правда обычно прошлая или позапрошлая версия AVZ).
Поэтому утилита должна проверить актуальные ли базы у юзера,
1) Если да, то дальше по алгоритму создаются логи.
2) Если нет пытается обновиться.
3) Если обновление успешно то утилита дальше по алгоритм делает логи.
4) Обновление не успешно - выводится окошко, Уважаемый сэр, базы очень сильно устарели вам надо либо их обновить вручную, для этого ..... , либо скачать свежую версию сборки сбора логов.
 
имхо, это из-за того, что нет чёткого алгоритма что надо реализовать (сори, если ошибаюсь) в итоге получается лебедь, рак и щука, каждый предлагает свои идеи в итоге вместо автоматической логовыжималки? как понял Phoenix уже предлает свой Live CD.
1) Свой Live CD делать в любом случае не будем, раньше уже у safezone он был и проект закрыли, так как это нарушение eula
2) +1 к Сашка, при чём здесь вообще все эти сборки если изначально стоит вообще другая задача - автоматизировать процесс сбора логов.
regist, честное слово ничего такого, просто творческая мысль.. :)

Речь шла про добавление логов в архив средствами AVZ и вот пример -
PHP:
begin
// Очистка карантина
ClearQuarantine;
// Выполнить исследование системы
ExecuteSysCheckEx(GetAVZDirectory + 'syscheck.htm', $FFFFFFFF, true, 1+4+32+64);
// Автокарантин
ExecuteAutoQuarantine;
// Создание архива с файлами, помещенными в карантин
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip', GetAVZDirectory + 'syscheck.htm;'+GetAVZDirectory + 'syscheck.xml');
// Удаление ненужных файлов 
DeleteFile(GetAVZDirectory + 'syscheck.htm');
DeleteFile(GetAVZDirectory + 'syscheck.xml');
end.
Тут добавляются файлы исследования syscheck.htm и syscheck.xml в папку INFO в quarantine.zip\INFO - ZIP архив, размер исходных файлов 262*161*357 байт
....соображаем.

В крайнем случае так-
PHP:
begin
 ClearQuarantine;
QuarantineFile('C:\rsit\* ','Aded Logs RSIT ');
 CreateQurantineArchive('c:\rsit.zip');
end.
Но тогда в фомате .dta
 
Последнее редактирование:
Речь шла про добавление логов в архив средствами AVZ
Phoenix, так речь идёт не о упаковке в архив средставами AVZ, а о распаковке. А карантинить логи RSIT считаю далеко не лучший выход/
И в таком случае я не понимаю, что вы имели ввиду под wpebeta? да и зачем консольный 7-zip?

Добавлено через 1 минуту 47 секунд
Сашка, в скрипты это всё равно не запихнуть, а если и запихнёшь, то все антивирусы не предусмотришь - поэтому в любом случае это придётся делать юзеру.
 
Последнее редактирование:
Ок-ок. Свожу алгоритм воедино и начинаю работать. Всем спасибо за разъяснения.
Принципы тех.требований в целом понятны.

Добавлено через 5 минут 54 секунды
akoK написал(а):
Запустите Internet Explorer и "альтернативные браузеры", которые используются для работы в сети Internet.

1. Могу найти все установленные браузеры в системе и запустить их.
2. Могу запустить только IE.
3. Могу только браузер, используемый по-умолчанию.

Какой вариант нужен?

Добавлено через 7 минут 21 секунду
На кибере Правила отличаются и включают пункт:

Подготовка к диагностике

1. Очистите временные файлы: Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

Скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
Нажмите No, если вы хотите оставить ваши сохраненные пароли
Если вы используете Opera, нажмите Opera - Select All - Empty Selected
Нажмите No, если вы хотите оставить ваши сохраненные пароли.

Этот этап пока пропустим?
Либо мне можно реализовать все тоже самое на CMD (далеко бежать не нужно: уже готово). Но тогда, исключаем очистку "Сохраненных паролей", "Кеша", ... все что касается браузеров, дабы пользователь не кричал: "Я забыл пароль от vkontak-a". ?
Еще, как вариант, запустить ATF Cleaner, и дать максимум информации пользователю, что делать с ним. Вот, сам ответил :)

Добавлено через 8 минут 30 секунд
Опять - на кибере порядок такой:

Диагностика:
1. RSIT
2. AVZ Скрипт # 3
3. AVZ Скрипт # 2

А здесь:
1. AVZ Скрипт # 3
2. AVZ Скрипт # 2
3. RSIT

Кому верить? Есть разница?
 
Последнее редактирование:
Какой вариант нужен?
имхо достачно браузер по умолчанию, можно ещё IE в комплекте открыть.
На кибере Правила отличаются и включают пункт:
раньше и тут было в правилах, потом это убрали, на кибере видно устаревшая версия правил.
особой разницы нет
думаю за основу надо брать правила этого форума.
 
потом, приколюха должна уметь ... закрывать все работающие проги

Укажите, пожалуйста, в какой п. Правил сбора логов мне воткнуть это? Т.е. в каком порядке... Ссылка на правила

Добавлено через 2 минуты 55 секунд
на кибере видно устаревшая версия правил.
Судя по штампу времени - наоборот. Там - 12.07.2013 (v. не указано, прим.: убран CureIT), здесь - v7.3 31.01.2013.

Добавлено через 14 минут 38 секунд
На счет обновлений. Представим ситуацию.
Допустим юзер скачал логовыжималку. Назовем ее VirusLogger. Лечится на компе без интернета.
Все ок.
Снова заразился через полгода. Качать VirusLogger лень. Запустил.

Если базы старые - сильно отличаются от текущей даты, то надо обновить.

Сильно отличаются - это на сколько?
Буду вычислять, если на компе дата стоит на N дней больше, работу скрипта запрещаем, пишем пользователю "Пожалуйста, обновитесь."
 
Укажите, пожалуйста, в какой п. Правил сбора логов мне воткнуть это?
это должно находиться здесь
Внимание!!
Перед выполнением диагностики необходимо отключить антивирусное ПО и сетевые экраны. Запустите Internet Explorer и "альтернативные браузеры", которые используются для работы в сети Internet.
то есть не только приостанавливают работу антивирусов, но и по возможности закрывают все программы. Запущенным остаётся только браузер, утилиты которые висят в трее обычно не в счёт, хотя чем меньше программ запущено - тем меньше записей в логе и его проще анализировать.

Добавлено через 2 минуты 52 секунды
Сильно отличаются - это на сколько?
10 дней.
Буду вычислять, если на компе дата стоит на N дней больше, работу скрипта запрещаем, пишем пользователю "Пожалуйста, обновитесь."
также надо предусмотреть вариант если у юзера введена неправильная дата - например села батарейка на биос - тоесть дата на компе старше даты обновления баз, в таком случае считаю правильным вывести юзеру уведомление, чтобы исправил дату.
 
Подскажите, пожалуйста, всегда легитимную, прямую и надежную ссылку на вирус EICAR. Неактуально.

hxxp://www.eicar.org/download/eicar.com - этому можно доверять?

Добавлено через 2 минуты 28 секунд
+ есть ли у Вас идеи как надежно проверить, что файрвол отключен?

Добавлено через 23 минуты 44 секунды
Подскажите, IP www.safezone.cc [108.162.199.63] - он статический? Неактуально.
 
Последнее редактирование:
httр://www.eicar.org/download/eicar.com - этому можно доверять?

+ есть ли у Вас идеи как надежно проверить, что файрвол отключен?
Можно доверять, это его сайт (eicar).
2ip Firewall Tester - посмотрите что она делает.
ping ?
Функции анализа и восстановления > Стандартные скрипты
Описание стандартных скриптов тут.
2. Скрипт сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера (без лечения) и исследования системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами
3. Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info. Выполняет операции по проверке компьютера с лечением и выполняет исследование системы, после чего создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами
 
есть ли у Вас идеи как надежно проверить, что файрвол отключен?
собственно говоря, а зачем это проверять? Если файрволл не блокирует обновление AVZ, то его можно и не отключать. Намного важнее отключить антивирус.
 
С параметром NewDsk=Y запустил и долго не мог понять что он тормозит - оказалось файервол ждал ввода..
Dragokas правильно решил сделать тест на АВ и Фаер.
Но есть ещё проактивная защита, тоже может помешать.
 
Последнее редактирование:
Последнее редактирование:
Только если у нас есть резервный FTP с постоянно крутящимся на нем скриптом обновления.
FTP дать не проблема.
Кому верить? Есть разница?
Правила будут отличаться, здесь мы откатываем обновленные алгоритмы сбора логов, а когда все ок я обновляю правила на других ресурсах-партнерах.
здесь - v7.3 31.01.2013.
Мои правки не отражаются, а я иногда забываю обновлять версию :)
 
создает папку LOG в рабочем каталоге AVZ и помещает туда протокол и архив с заподозренными файлами
если нужно будет для утилиты, то создать можно и в другом месте, вот пример.

Добавлено через 1 минуту 50 секунд
FTP дать не проблема.
FTP не проблема, но в идеале потом должен быть скрипт, который будет автоматом обновлять базы и пересобирать сборку. А если на нём будет старая версия, то смысла в нём нет.
 
FTP не проблема, но в идеале потом должен быть скрипт, который будет автоматом обновлять базы и пересобирать сборку. А если на нём будет старая версия, то смысла в нём нет.
Это не проблема. Утиль будет сам уметь пересобираться.

Я передумал использовать ping для проверки валидности хоста и наличия подключения - она прокладывает маршрут напрямую).
Пробую добавить поддержку прокси.
 
Последнее редактирование:
Назад
Сверху Снизу