Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

просто у кого есть регистрация на форуме ЛК надо спросить Олега, может он добавил как и обещал возможность разархивации произвольных файлов.

Добавлено через 1 минуту 37 секунд
через executefile с ключами
тогда и AVZ не нужен и нужна лишняя консольная утилита. Оптимальный вариант спросить Олега Зайцева.

Добавлено через 2 минуты 29 секунд
а чем просто отключать отличается от выгружать?
в моём понимание отключить защиту антивируса это просто её приостановить при этом значок антивирус может висеть в трее, как это сделать обычно на каждом форуме есть инструкция с картинками для каждого антивируса. А выгрузить антивирус это значит выгрузить его полностью с завершением всех его процессов.
 
надо спросить Олега
а попросить дядю зайцева все сделать самому не надо? от него вроде бы обещанного 3 года ждут
тогда и AVZ не нужен и нужна лишняя консольная утилита.
аргумент, ниче не скажешь)))
отключить защиту антивируса это просто её приостановить при этом значок антивирус может висеть в трее, как это сделать обычно на каждом форуме есть инструкция с картинками для каждого антивируса. А выгрузить антивирус это значит выгрузить его полностью с завершением всех его процессов.
какие то так можно закрыть, другие выгружать надо
 
от него вроде бы обещанного 3 года ждут
три нет, а полтора года уже прошло.
а попросить дядю зайцева все сделать самому не надо?
а что ты теряешь? У него много вещей реализовано и включается какими-то скрытыми ключами или ещё чем-то, что не описано в справке, а когда начинаешь его спрашивать, то оказывается, что это у него давно уже реализовано и мы глупцы, что этого до сих пор не знаем.

Добавлено через 14 минут 55 секунд
аргумент, ниче не скажешь)))
я имею ввиду, что незачем использовать AVZ чтобы запустить командную строку, которая будет управлять консольной утилитой, если AVZ сам грубо говоря будет запускаться батником. Лучше уж тогда сразу этим батником запускать эту консольную утилиту.
 
Drongo, спасибо интересная тема, но сейчас в AVZ появилась новая фича работа с WMI напрямую без cmd и прочих изощрений, которая значительно упрощает эту задачу. Тогда просто не было такого функционала в AVZ он появился только в текущей версии.
 
Последнее редактирование:
regist, в командную строку тоже встроено, при чем не только сокращенный перечень алиасов WMIC, но также доступны все дефолтные классы WMI с отработкой методов.
 
Я так понял вопрос с антивирусами через перезагрузку -нормальное решение?
 
http://www.z-oleg.com/avz.exe - а этот нельзя использовать ? Скорее всего всё равно утилита будет обновляться и с базами проблема решится.

Тогда уж http://www.z-oleg.com/avz_mini.exe

Добавлено через 2 минуты 19 секунд
RSIT вообще чья разработка?
Тут ничего не полчится, разработчик не поддерживает больше утилиту.
 
Я так понял вопрос с антивирусами через перезагрузку -нормальное решение?
Koza Nozdri, ты о чём? с антивирусами вроде все сошлись на том, что надо давать уведомление пользователю, чтобы он приостановил защиту.
 
regist, да это мы так шутим :)
 
akoK, если рсит уже не поддерживается и автор не против можно нам взяться за его поддержку.
 
Последнее редактирование:
Попытаюсь выйти на разработчика и попросить исходники.

ПО поводу обновлений баз AVZ, то мы можем воспользоваться стандартной пилюлей №5
5. Обновление баз с автоматической настройкой. Производит обновление баз, используя различные настройки. Данная операция полезна в случае, если обновление стандартным способом не проходит и выводится сообщение об ошибке.
 
можно нам взяться за его поддержку

Так уже ж...




Правда, во втором абзаце первого окна сразу две ошибки и обе в одном слове, но ничего страшного, на это можно не обращать внимания. Главное - результат. :D

Впрочем в первом абзаце тоже есть... После этого чёт расхотелось жать на кнопку Далее...
 
regist,
А кто знает, как распаковать архив zip средствами avz (об этом функционале упоминалось)?

7za.exe
И запустить на исполнение скриптом AVZ.
PHP:
begin
ExecuteFile(GetAVZDirectory+'7za.exe', 'e '+GetAVZDirectory+'base\avzupd.zip', 1, 10000, true);
end.
 
а зачем 7zip скачивать? можно же определить, какой архиватор уже есть и используется для этого:

[HKEY_CLASSES_ROOT\.zip]
@="WinRAR.ZIP"
 
а зачем 7zip скачивать? можно же определить, какой архиватор уже есть и используется для этого:
либо в любой системе должен быть уже встроенный WinZIP уверен, наверняка простой ZIP можно распаковать с помощью vbs им ;).
 
Последнее редактирование:
а зачем 7zip скачивать? можно же определить, какой архиватор уже есть и используется для этого:

[HKEY_CLASSES_ROOT\.zip]
@="WinRAR.ZIP"

А зачем он в сборке wpebeta ? Исследуемая система предположительно заражена. Так ведь ? От неё можно всего ожидать.
 
а чем просто отключать отличается от выгружать?
Например, для KIS разница огромная.
Судя по логам Process Monitor, при отключенной защите, avp.exe все еще мониторит запускаемые процессы.

14:13:38,9250826,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"

14:13:38,9251094,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9251223,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9252648,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"

14:13:38,9252835,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9252955,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9253801,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, AllocationSize: n/a, OpenResult: Opened"

14:13:38,9254136,"avp.exe","7260","FASTIO_ACQUIRE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","FILE LOCKED WITH ONLY READERS","SyncType: SyncTypeCreateSection, PageProtection: "

14:13:38,9254253,"avp.exe","7260","FASTIO_QUERY_INFORMATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Type: QueryStandardInformationFile, AllocationSize: 16, EndOfFile: 11, NumberOfLinks: 1, DeletePending: False, Directory: False"

14:13:38,9254479,"avp.exe","7260","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9254560,"avp.exe","7260","FASTIO_ACQUIRE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS","SyncType: SyncTypeOther"

14:13:38,9254639,"avp.exe","7260","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9256027,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""

14:13:38,9256172,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
 
Назад
Сверху Снизу