Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This
- Автор темы Кирилл
- Дата начала
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
просто у кого есть регистрация на форуме ЛК надо спросить Олега, может он добавил как и обещал возможность разархивации произвольных файлов.
Добавлено через 1 минуту 37 секунд
Добавлено через 2 минуты 29 секунд
Добавлено через 1 минуту 37 секунд
тогда и AVZ не нужен и нужна лишняя консольная утилита. Оптимальный вариант спросить Олега Зайцева.
Добавлено через 2 минуты 29 секунд
в моём понимание отключить защиту антивируса это просто её приостановить при этом значок антивирус может висеть в трее, как это сделать обычно на каждом форуме есть инструкция с картинками для каждого антивируса. А выгрузить антивирус это значит выгрузить его полностью с завершением всех его процессов.
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
а попросить дядю зайцева все сделать самому не надо? от него вроде бы обещанного 3 года ждут
аргумент, ниче не скажешь)))
какие то так можно закрыть, другие выгружать надо
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
три нет, а полтора года уже прошло.
а что ты теряешь? У него много вещей реализовано и включается какими-то скрытыми ключами или ещё чем-то, что не описано в справке, а когда начинаешь его спрашивать, то оказывается, что это у него давно уже реализовано и мы глупцы, что этого до сих пор не знаем.
Добавлено через 14 минут 55 секунд
я имею ввиду, что незачем использовать AVZ чтобы запустить командную строку, которая будет управлять консольной утилитой, если AVZ сам грубо говоря будет запускаться батником. Лучше уж тогда сразу этим батником запускать эту консольную утилиту.
- Сообщения
- 7,334
- Реакции
- 4,771
127 и дальше до 191-го.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Drongo, спасибо интересная тема, но сейчас в AVZ появилась новая фича работа с WMI напрямую без cmd и прочих изощрений, которая значительно упрощает эту задачу. Тогда просто не было такого функционала в AVZ он появился только в текущей версии.
Последнее редактирование:
- Сообщения
- 25,320
- Решения
- 6
- Реакции
- 13,842
Тогда уж http://www.z-oleg.com/avz_mini.exe
Добавлено через 2 минуты 19 секунд
Тут ничего не полчится, разработчик не поддерживает больше утилиту.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Koza Nozdri, ты о чём? с антивирусами вроде все сошлись на том, что надо давать уведомление пользователю, чтобы он приостановил защиту.
SNS-amigo
SNS System Watch Freelance reporter
- Сообщения
- 4,897
- Решения
- 1
- Реакции
- 6,526
Так уже ж...
Правда, во втором абзаце первого окна сразу две ошибки и обе в одном слове, но ничего страшного, на это можно не обращать внимания. Главное - результат.
Впрочем в первом абзаце тоже есть... После этого чёт расхотелось жать на кнопку Далее...
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
либо в любой системе должен быть уже встроенный WinZIP уверен, наверняка простой ZIP можно распаковать с помощью vbs им
.
Последнее редактирование:
Phoenix
Разработчик
- Сообщения
- 2,130
- Реакции
- 1,644
А зачем он в сборке wpebeta ? Исследуемая система предположительно заражена. Так ведь ? От неё можно всего ожидать.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Например, для KIS разница огромная.
Судя по логам Process Monitor, при отключенной защите, avp.exe все еще мониторит запускаемые процессы.
14:13:38,9250826,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"
14:13:38,9251094,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9251223,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9252648,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"
14:13:38,9252835,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9252955,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9253801,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, AllocationSize: n/a, OpenResult: Opened"
14:13:38,9254136,"avp.exe","7260","FASTIO_ACQUIRE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","FILE LOCKED WITH ONLY READERS","SyncType: SyncTypeCreateSection, PageProtection: "
14:13:38,9254253,"avp.exe","7260","FASTIO_QUERY_INFORMATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Type: QueryStandardInformationFile, AllocationSize: 16, EndOfFile: 11, NumberOfLinks: 1, DeletePending: False, Directory: False"
14:13:38,9254479,"avp.exe","7260","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9254560,"avp.exe","7260","FASTIO_ACQUIRE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS","SyncType: SyncTypeOther"
14:13:38,9254639,"avp.exe","7260","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9256027,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9256172,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9251094,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9251223,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9252648,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: , Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"
14:13:38,9252835,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9252955,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9253801,"avp.exe","7260","IRP_MJ_CREATE","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Desired Access: None, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, AllocationSize: n/a, OpenResult: Opened"
14:13:38,9254136,"avp.exe","7260","FASTIO_ACQUIRE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","FILE LOCKED WITH ONLY READERS","SyncType: SyncTypeCreateSection, PageProtection: "
14:13:38,9254253,"avp.exe","7260","FASTIO_QUERY_INFORMATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS","Type: QueryStandardInformationFile, AllocationSize: 16, EndOfFile: 11, NumberOfLinks: 1, DeletePending: False, Directory: False"
14:13:38,9254479,"avp.exe","7260","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9254560,"avp.exe","7260","FASTIO_ACQUIRE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS","SyncType: SyncTypeOther"
14:13:38,9254639,"avp.exe","7260","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9256027,"avp.exe","7260","IRP_MJ_CLEANUP","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
14:13:38,9256172,"avp.exe","7260","IRP_MJ_CLOSE","C:\Users\Alex\Desktop\test.cmd","SUCCESS",""
Сашка
Ветеран
- Сообщения
- 4,296
- Реакции
- 1,925
опирайтесь на это, короче - https://safezone.cc/forum/showthread.php?t=18577
причем здесь сборки, если задача стоит автоматически упаковать в архив лог авз?
Похожие темы
- Статья
