Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

Нет, я имел в виду выделенный FTP-сервер, на котором можно крутить любые скрипты (такой у знакомого).
Не знаю, какой именно у akoK.

На счет php интересная идея. Нужно помозговать над алгоритмом с товарищем, т.к. о языке и его возможностях мне не много знакомо. Но пока не буду распыляться.
 
Dragokas, а по поводу сбора логов. можно узнать как решили (или собираетесь) решить проблему с UAC? При запуске юзер допустим разрешит запуск утилиты, а после перезагрузки опять запрос?
 
Есть ли общие рекомендации по нейтрализации причин, препятствующих запуску AVZ, созданию контрольной точки (которые целесообразно выполнять в автоматическом режиме перед сбором логов) ?
 
по авз хэлперы подскажут думаю,по точке восстановления на днях пытался кое что ваять-изложу...
 
Есть ли общие рекомендации по нейтрализации причин, препятствующих запуску AVZ, созданию контрольной точки (которые целесообразно выполнять в автоматическом режиме перед сбором логов) ?

Была малварь-убийца AVZ (жаль не найду..) ,так вот помогало переименование (в расширении) исполняемого файла в .pif , .com (в архив с паролем на такой случай (?)). Вообще некоторые вирусы только исполняемый файл удаляют. (win32.sector.5 например)
В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:
"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
 
Последнее редактирование:
Была малварь-убийца AVZ (жаль не найду..) ,так вот помогало переименование (в расширении)
много чего было, также было что блокировало окошко для выполнения скрипта. Но это отдельные редкие случаи в которых требуется отдельный подход и в большинстве таких случаев нужен полиморф. Поэтому считаю не нужно изощряться и отходить от правил.
 
потом, приколюха должна уметь ... закрывать все работающие проги.

Итак, у меня собран список программ (с путями), запускаемых по-умолчанию, отдельно для каждой версии чистой ОС.
Все остальные (другое имя, или другой путь), я могу "гасить", предупредив и дав время пользователю, и это не помешает процессу анализа?
 
Все остальные (другое имя, или другой путь), я могу "гасить", предупредив и дав время пользователю, и это не помешает процессу анализа?
Ни в коем случае! Конечно же помешает, что тогда лечить?! Если вы все вирусные процессы ещё до создания логов загасите. Имхо, скриптами вообще ничего закрывать не надо. Надо просить об этом пользователя.
 
Dragokas, рекомендуется оставлять запущенными тока браузеры.

Если вы все вирусные процессы ещё до создания логов загасите.
вместо логов получите один бесконечный синяк
 
Последнее редактирование:
Я тоже думаю, что "усиленно" сканируются запущенные процессы.
Это было Сашки предложение.
 
Я тоже думаю, что "усиленно" сканируются запущенные процессы.
Это было Сашки предложение.
Тупо забивать все процессы не надо.

Иногда настока усиленно сканируются, что лог делается часами.
 
Последнее редактирование:
Сашка, ты предлагаешь Dragokas создать искуственный интелект, который будет вычислять кем запущен процесс и почему и на основание этого выносить вердикт глушить его или нет ? :D:p
Мечтать можно о чём угодно, но надо примерно и понимать, что можно реализовать, а что нет. Поэтому завершение процессов и приостановку защиты антивируса надо оставить пользователю.
 
Сашка, ты предлагаешь Dragokas создать искуственный интелект,
Регистр, оха))))

если логовыжималка будет автоматическая (а не интерактивная), то достаточно будет закрывать работающие приложения, кроме браузеров.
 
Сашка, а как определить это приложение установлено пользователем или это какая-то вирусная приблуда?
 
Та могу сделать, шо угодно. Про антивирус уже сделал. Каспер долго упрямился и ничего не замечал, пришлось грузить вирь прямо в память.
Этап обновления тоже готов. Прокси сделал.
 
Последнее редактирование:
Сашка
1) Предложи как это реализовать скриптами vbs и bat, чтобы они автоматом гугли кому принадлежит этот процесс и если он принадлежит программе из списка установленных, то завершали.
2) У меня могут быть установлены программы, но их не будет в списке установленных - многие удаляют оттуда программу, которыми они постоянно пользуются. Так что такое алгоритм проверки не подходит.
Та могу сделать, шо угодно. Про антивирус уже сделал. Каспер долго упрямился и ничего не замечал, пришлось грузить вирь прямо в память.
Этап обновления тоже готов. Прокси сделал.
Dragokas, не надо отключать антивирус автоматом!
1) Отключение всех антивирусов вы не предусмотрите.
2) За это на нашу прогу справливо добавят вирусный детект Trojan.AVKill кто после этого будет нашей программой пользоваться? Я думаю, что в основном вирмейкеры ;).
 
Назад
Сверху Снизу