Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

[Dragokas]

Нет, я имел в виду выделенный FTP-сервер, на котором можно крутить любые скрипты (такой у знакомого).
Не знаю, какой именно у akoK.

На счет php интересная идея. Нужно помозговать над алгоритмом с товарищем, т.к. о языке и его возможностях мне не много знакомо. Но пока не буду распыляться.

 

[akok]

Не знаю, какой именно у akoK

VPS, можно настраивать.

 

[regist]

Dragokas, а по поводу сбора логов. можно узнать как решили (или собираетесь) решить проблему с UAC? При запуске юзер допустим разрешит запуск утилиты, а после перезагрузки опять запрос?

 

[Dragokas]

Есть ли общие рекомендации по нейтрализации причин, препятствующих запуску AVZ, созданию контрольной точки (которые целесообразно выполнять в автоматическом режиме перед сбором логов) ?

 

[Кирилл]

по авз хэлперы подскажут думаю,по точке восстановления на днях пытался кое что ваять-изложу...

 

[Phoenix]

Есть ли общие рекомендации по нейтрализации причин, препятствующих запуску AVZ, созданию контрольной точки (которые целесообразно выполнять в автоматическом режиме перед сбором логов) ?

Была малварь-убийца AVZ (жаль не найду..) ,так вот помогало переименование (в расширении) исполняемого файла в .pif , .com (в архив с паролем на такой случай (?)). Вообще некоторые вирусы только исполняемый файл удаляют. (win32.sector.5 например)

Спойлер

В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:
"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."

 

[Сашка]

Вопрос: есть ли смысл удалять старые контрольные точки?

нет, мы не удаляем старые точки и не отключаем восстановление системы до очистки

 

[regist]

Была малварь-убийца AVZ (жаль не найду..) ,так вот помогало переименование (в расширении)

много чего было, также было что блокировало окошко для выполнения скрипта. Но это отдельные редкие случаи в которых требуется отдельный подход и в большинстве таких случаев нужен полиморф. Поэтому считаю не нужно изощряться и отходить от правил.

 

[akok]

Не думаю, что стоит заморачиваться в этом. Если случай сложный, то и методика будет отличаться.

 

[Dragokas]

потом, приколюха должна уметь ... закрывать все работающие проги.

Итак, у меня собран список программ (с путями), запускаемых по-умолчанию, отдельно для каждой версии чистой ОС.
Все остальные (другое имя, или другой путь), я могу "гасить", предупредив и дав время пользователю, и это не помешает процессу анализа?

 

[regist]

Все остальные (другое имя, или другой путь), я могу "гасить", предупредив и дав время пользователю, и это не помешает процессу анализа?

Ни в коем случае! Конечно же помешает, что тогда лечить?! Если вы все вирусные процессы ещё до создания логов загасите. Имхо, скриптами вообще ничего закрывать не надо. Надо просить об этом пользователя.

 

[Сашка]

Dragokas, рекомендуется оставлять запущенными тока браузеры.

Если вы все вирусные процессы ещё до создания логов загасите.

вместо логов получите один бесконечный синяк

 

[Dragokas]

Я тоже думаю, что "усиленно" сканируются запущенные процессы.
Это было Сашки предложение.

 

[Сашка]

Я тоже думаю, что "усиленно" сканируются запущенные процессы.
Это было Сашки предложение.

Тупо забивать все процессы не надо.

Иногда настока усиленно сканируются, что лог делается часами.

 

[regist]

Сашка, ты предлагаешь Dragokas создать искуственный интелект, который будет вычислять кем запущен процесс и почему и на основание этого выносить вердикт глушить его или нет ?
Мечтать можно о чём угодно, но надо примерно и понимать, что можно реализовать, а что нет. Поэтому завершение процессов и приостановку защиты антивируса надо оставить пользователю.

 

[Сашка]

Сашка, ты предлагаешь Dragokas создать искуственный интелект,

Регистр, оха))))

если логовыжималка будет автоматическая (а не интерактивная), то достаточно будет закрывать работающие приложения, кроме браузеров.

 

[regist]

Сашка, а как определить это приложение установлено пользователем или это какая-то вирусная приблуда?

 

[Сашка]

из списка установленных программ закрыть работающие

 

[Dragokas]

Та могу сделать, шо угодно. Про антивирус уже сделал. Каспер долго упрямился и ничего не замечал, пришлось грузить вирь прямо в память.
Этап обновления тоже готов. Прокси сделал.

 

[regist]

Сашка
1) Предложи как это реализовать скриптами vbs и bat, чтобы они автоматом гугли кому принадлежит этот процесс и если он принадлежит программе из списка установленных, то завершали.
2) У меня могут быть установлены программы, но их не будет в списке установленных - многие удаляют оттуда программу, которыми они постоянно пользуются. Так что такое алгоритм проверки не подходит.

Та могу сделать, шо угодно. Про антивирус уже сделал. Каспер долго упрямился и ничего не замечал, пришлось грузить вирь прямо в память.
Этап обновления тоже готов. Прокси сделал.

Dragokas, не надо отключать антивирус автоматом!
1) Отключение всех антивирусов вы не предусмотрите.
2) За это на нашу прогу справливо добавят вирусный детект Trojan.AVKill кто после этого будет нашей программой пользоваться? Я думаю, что в основном вирмейкеры .