Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

[Сашка]

я думаю это не ко мне вопрос, а к разработчикам. нужно завершать то, что отображается в списке приложений диспетчера задач. там могут быть не только программы из списка установленных.

добавят вирусный детект Trojan.AVKill

это да. предложи как это сделать для нуба, которые не знает как отключить а\в и где он у него вообще.

 

[regist]

это да. предложи как это сделать для нуба, которые не знает как отключить а\в и где он у него вообще.

дать ссылку на инструкцию, где в картинках это всё расписано.

я думаю это не ко мне вопрос, а к разработчикам.

нужно хотя бы примерно понимать, что реально реализовать, а что нет. А потом ты дал разработчику задание отключать антивирь автоматом, Dragokas это сделал. А запустили бы в свободное плавание ... так что надо сейчас на этапе задания думать, чем это обернётся потом.

 

[Dragokas]

regist, цыц. У меня все по уму, эта часть вообще без сторонних программ, и без жертв (то бишь не килл). Ждите релиза. Отошли от темы.
На счет завершать из числа только установленных - подумаю.
Если у кого реестровый ключик есть, где храниться их перечень - прошу дать.
Хм, спрошу у sov44. Он такие вещи любит.

дать ссылку на инструкцию, где в картинках это всё расписано.

Тоже сделал.

 

[Сашка]

задание отключать антивирь автоматом

пусть все будет так как мы хотим, и чтобы нам ничего за это не было (почти что тост)

На счет завершать из числа только установленных - подумаю.

и не только из него:
.

 

[regist]

На счет завершать из числа только установленных - подумаю.

Dragokas, не надо и думать над этим. Даже если прога в списке установленных это может быть адварь или даже вебальта. В общем от этой идее на практике будет больше вреда чем пользы так как очень важно видеть реальный список запущенных процессов на момент выполнения скрипта, а не на момент создания логов.

Насчёт автоматического отключения антивирусов этот функционал тоже не нужен.

 

[regist]

У меня все по уму, эта часть вообще без сторонних программ, и без жертв (то бишь не килл).

похоже ты не совсем понимаешь, что есть килл. Килл это будет не сторонняя программа, а твоя утилита на которую сделают стойку большиство вендоров и в первую очередь касперский. И форуму потом придётся объяснять, что за вирусы он распространяет, так как отсылка на повторный анализ подтвердит, что это не ложное срабатывание.

 

[Dragokas]

Насчёт автоматического отключения антивирусов этот функционал тоже не нужен.

Я уже писал раньше - EICAR.
Ручной, но навязчивый -)

Dragokas, не надо и думать над этим. Даже если прога в списке установленных это может быть адварь или даже вебальта. В общем от этой идее на практике будет больше вреда чем пользы так как очень важно видеть реальный список запущенных процессов на момент выполнения скрипта, а не на момент создания логов.

Убедили.
Пусть юзер потерпит, не свою же систему проверяем.

 

[Сашка]

Даже если прога в списке установленных это может быть адварь или даже вебальта.

Регистр, а смотреть в другие разделы логов, кроме процессов, пробовал? )))))

так как очень важно видеть реальный список запущенных процессов на момент выполнения скрипта

Да да, важнее и быть ничего не может ))) будто бы ты за свои 3 года хелперской практики не знаешь, к чему это приводит.

единственной проблемой может быть BSOD при некорректном завершении некоторых вирусных процессов. Но никак не висящая там адварь))))

эээээ... ты по моему уже отсебятину какую то толкаешь

Перед выполнением следующих пунктов диагностики: закройте(выгрузите) все запущенные программы, включая антивирусное программное обеспечение и firewall, оставьте запущенным только Internet Explorer.

Необходимо отключить компьютер от сети интернет, если не хотите оставить компьютер беззащитным на время создания логов.

 

[Dragokas]

В коде Drongo вот такое использовал:

set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "taskkill /f /im Explorer.exe", 0
WScript.Sleep 500
WshShell.Run "C:\avz4\active.com AM=Y script=C:\script.txt"

т.е. по сути закрывал все окна Explorer-a перед проверкой. Это нужно?

 

[regist]

Dragokas, нет. Сашка тут не место для этих разборок, а так это в простых логах учат .

 

[glax24]

Dragokas, я тебе скидывал тест там как раз получение списка установленных программ.

 

[Сашка]

Explorer в большинстве случаев завершать не нужно. при стандартном сборе логов - тоже не нужно

тут не место для этих разборок

так не путай людей и не сбивай с толку.

 

[Dragokas]

Спасибо, glax24. Читал твой скрипт. Но как всегда куриная память.

Ок, господа процессы пока трогать не будем. Не нужно этих разборок. Есть и плюсы и минусы. Всем не угодишь.
Буду принимать решения самостоятельно, когда сам доберусь до начального уровня.
А сейчас начну ускоряться по другим направлениям.

 

[Drongo]

Можно встряну?

1. С недавних или с давних пор, но я предпочитаю портабельный софт, браузеры, общалки, всё что после переустановки системы может работать без переустановки. Естественно этих прог в списке установленых не будет. Тогда что? Их считать запущеными извне? Вон даж на скрине Ammyy Admin, он не требует установки
2. Не думаю что у других не будет портабле софта.
3. Думаю, пока процессы завершать не стоит.

 

[Сашка]

3. Думаю, пока процессы завершать не стоит.

Сань, процессы не надо, согласен.

1. С недавних или с давних пор, но я предпочитаю портабельный софт,

вот то же самое на скрине AA portable запущен. Как завершить все это?

 

[Dragokas]

1) Свой Live CD делать в любом случае не будем, раньше уже у safezone он был и проект закрыли, так как это нарушение eula

Прошлый проект логовыжималки тоже закрыли.

Меня интересуют авторские права.
Конкретно: что можно, что нельзя.
Вот, я использую в составе утилиту SIT, а SIT использует утилиту Sysinternals AutorunsC.
Мой же сборщик использует утилиту Sysinternals Handle.
Кроме того любой закрытый код (EXE)... читай свой - использовать нельзя?

:: Использование сторонних компонентов:
::
:: Wget - скачивание файлов по протоколам FTP/HTTP/HTTPS - License: GNU
:: 7zip - консольный архиватор - License: GNU LGPL - http://www.7-zip.org/license.txt
:: RHash - подсчет и проверка хеш-сум - FreeWare - http://rhash.anz.ru/license.php
:: ConClip - работа с буфером обмена - Karl E.Peterson - распространение запрещено - http://vb.mvps.org/tools/ConClip/#distro - она не особо то и нужна... напишу свою, если это разрешено
:: Handle - определение блокирующей программы - Sysinternals - здесь сложности...
:: EICAR - тестовый вирус

Будут проблемы?

 

[regist]

:: EICAR - тестовый вирус

Будут проблемы?

Хоть вирус и тестовый, но имхо проблемы могут быть со стороны пользователя. Не у всех есть файрвол, а вот файловый антивирус есть у большинства. Опять скажут, что мы им вирусы закачиваем. Можно почитать в соседней теме про SnS, где на полном серьёзе считали, то EICAR это настоящий вирус.

 

[Сашка]

что можно, что нельзя.

Dragokas, ты же юрист, тебе виднее

 

[akok]

Прошлый проект логовыжималки тоже закрыли.

Меня интересуют авторские права.
Конкретно: что можно, что нельзя.
Вот, я использую в составе утилиту SIT, а SIT использует утилиту Sysinternals AutorunsC.
Мой же сборщик использует утилиту Sysinternals Handle.
Кроме того любой закрытый код (EXE)... читай свой - использовать нельзя?

:: Использование сторонних компонентов:
::
:: Wget - скачивание файлов по протоколам FTP/HTTP/HTTPS - License: GNU
:: 7zip - консольный архиватор - License: GNU LGPL - http://www.7-zip.org/license.txt
:: RHash - подсчет и проверка хеш-сум - FreeWare - http://rhash.anz.ru/license.php
:: ConClip - работа с буфером обмена - Karl E.Peterson - распространение запрещено - http://vb.mvps.org/tools/ConClip/#distro - она не особо то и нужна... напишу свою, если это разрешено
:: Handle - определение блокирующей программы - Sysinternals - здесь сложности...
:: EICAR - тестовый вирус

Будут проблемы?

Какие есть пожелания (возможности)? Если мы не нарушаем соглашения, то можно все (или почти все). Только вот не понимаю смысла EICAR... зачем он?

 

[Dragokas]

Пожелания:
заменить AutorunsC своим кодом. glax24 уже занимается.
Handle не включать в состав, выкачивать самой утилитой (потом попрошу напишут мне замену). Вопросы - зачем это нужно - уже после релиза... рано я поднял этот скользкий вопрос.

Dragokas, ты же юрист, тебе виднее

Я криминалист, а не цивилист.
У своих спрошу позже. Сегодня все под градусом