Автоматическое получение логов AVZ, RSIT, SITLog, HiJack This

[regist]

Вопросы - зачем это нужно - уже после релиза... рано я поднял этот скользкий вопрос.

Как бы потом всё не пришлось из-за этого переделывать .

 

[Dragokas]

Как бы потом всё не пришлось из-за этого переделывать .

Код полностью модульный.
Вариации пожеланий - нравиться/не нравятся по разным функциям - вынесены в ini-файл настроек.
То бишь можно тот же скрипт использовать и как клиентскую и как серверную (для FTP)-часть.

 

[Dragokas]

Перед выполнением диагностики необходимо отключить антивирусное ПО и сетевые экраны. Запустите Internet Explorer и "альтернативные браузеры", которые используются для работы в сети Internet.

1) Не может ли привести эта последовательность действий к еще более сугубому заражению?
Например, отключили AV, запустили браузер (а в нем несколько вкладок), одна из которых заражена, при чем ранее блокировалась AV, а сейчас мы его отключили.

2) Не будет ли критичным, если в процессе работы стандартного скрипта № 2 в памяти будет все время запущенным процесс CMD.exe, ожидающий завершения работы AVZ ?

 

[Сашка]

1. вероятность крайне небольшая

2. не будет

 

[Dragokas]

После перезагрузки ОС, сразу же стартует Стандартный скрипт № 2.
Думаю, стоит:
1) поставить какую-то задержку (скажем 15 сек.), чтобы стартовали все процессы;
2) или попросить пользователя кликнуть "ОК", когда все более-менее прогрузится.

Как лучше поступить?

3) virusinfo_autoquarantine.zip - такой файл иногда создается AVZ во время выполнения скриптов.
Следует ли рекомендовать юзеру отправить его по почте (или форме) сразу же после создания темы в разделе лечения?

 

[akok]

Следует ли рекомендовать юзеру отправить его по почте (или форме) сразу же после создания темы в разделе лечения?

Нет, не стоит. В 95% там не нужный нам мусор.

 

[Dragokas]

У RSIT как выяснилось - в зависимости от языка локализации системы зависит
2 варианта интерфейса, которые отличаются по приоритетам перехода между клавишами главного окна.
(автозапуск RSIT решил сделать тупым методом - имитации нажатий).

Так вот, она определяет язык по ветке HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language\InstallLanguage (язык установки)
а не по HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language\Default (язык, выбранный для программ, не поддерживающих юникод)
что есть не очень оптимально (т.к. EN система может содержать MUI и в таком случае RSIT запустится все равно на EN-языке).

Пишу чисто для информации (не зря же Process Monitor под лупой смотрел ).
Твикать реестр перед запуском RSIT, думаю, не буду, дабы не нарушить привычные логи (на EN-системах) и инструкцию.

 

[Dragokas]

ViruLogs Collector by Dragokas

релиз вер. 0.1.7. Готов к тестам.
По многим просьбам выкладываю по-раньше.
Сделано строго по главной инструкции и Вашим рекомендациям.

Описание сделаю, как высплюсь

Остальное см. в файле настроек ini

Спойлер: ViruLogs.ini

;;; Конфигурационный файл



[Stages]

;;; Включение/отключение ключевых стадий работы сборщика

; Обновление утилит и баз

Stage.Update=true

; Создание контрольной точки, тест наличия активного антивируса, открытие окна браузера IE и браузера по-умолчанию

Stage.Prepare=true

; Этап сканирования с помощью комплекта утилит (AVZ, RSIT, HijackThis, SITLog)

Stage.Analyses=true



[ScanTools]

;;; Выбор утилит, которые нужно использовать для анализа системы

use_AVZ=true

use_RSIT=true

use_SITLog=true




[AVZ]

;;; Имя
; Переименовать исполняемый файл

AVZ.UsePolymorf=yes
AVZ.PolymorfName=goodfile.pif

; Если базы устарели на N дней, а обновить невозможно, запрещать анализ и просить пользователя скачать новую сборку с SafeZone.cc
; 0 - контроль актуальности отключен

AVZ.DaysOutDated_DenyScan=10

; Не скачивать обновление баз, если прошло менее N дней с момента последней успешной проверки
; 0 - всегда обновлять базы при запуске

AVZ.DaysOutDated=0




[Update]

;;; Не скачивать обновления утилит, если прошло менее N дней с момента последней успешной проверки
; 0 - всегда проверять обновления

Updates.DaysOutDated=0

;;; Сервера обновлений
; ключ -SkipCheckVersion - Форсировать скачивание без проверки, новая ли версия

;; =================== AVZ ==============
; Адреса зеркал

AVZ.link.1=http://z-oleg.com/avz4.zip
AVZ.link.2=http://safezone.cc/resources/12/download?version=13 -SkipCheckVersion

;Альтернативные источники обновления баз AVZ

AVZ.Bases.Link.1=http://z-oleg.com/secur/avz_up/avzbase.zip

;; ================  SITLog  ================
; Адреса зеркал

SIT.link.1=http://tools.safezone.cc/glax24/SIT/SITLog.7z
SIT.link.2=http://komp73.ucoz.ru/SITLog/SITLog.7z

;; ============ Sysinternals Handle ==========
; Адреса зеркал

HANDLE.link.1=http://live.sysinternals.com/Handle.exe

;; =================== RSIT =================
; адреса зеркал

RSITx32.link.1=http://images.malwareremoval.com/random/RSIT.exe
RSITx32.link.2=http://safezone.cc/resources/4/download?version=4 -SkipCheckVersion

RSITx64.link.1=http://images.malwareremoval.com/random/RSITx64.exe
RSITx64.link.2=http://safezone.cc/resources/6/download?version=6 -SkipCheckVersion

;; ================ HijackThis ============= (включен в состав RSIT, SITLog)
;HJT.link.1=http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe




[Proxy]

;;; Прокси сервер
; принудительно задать адрес прокси-сервера, иначе определяется автоматически по настройкам Internet Explorer
; например, ProxyAddress_Force=127.0.0.1:8080

ProxyAddress_Force=




[Interface]

; запускать скрипт в режиме повышенных привилегий

ini.AdminRights=true

; включить режим отладки ошибок

ini.DebugMode=false

; закрывать окно скрипта по завершении всех стадий работы

AutoClose=false

Все построено по модульному принципу.
Можно, например, отключить AVZ для быстрого теста утиля без перезагрузки (use_AVZ=false).

После первого запуска сборка готова для передачи в руки желающим полечиться.

 

[Кирилл]

[26.10.2013 - 10:16:19,18] - Запуск ViruLogs Collector

[26.10.2013 - 10:16:25,75] - не могу скачать с "http://tools.safezone.cc/glax24/SIT/SITLog.7z"
--2013-10-26 10:16:25-- http://tools.safezone.cc/glax24/SIT/SITLog.7z
Resolving tools.safezone.cc... 178.20.156.139
Connecting to tools.safezone.cc|178.20.156.139|:80... connected.
HTTP request sent, awaiting response... 404 Not Found
2013-10-26 10:16:26 ERROR 404: Not Found.

А сделано просто отлично!
Понравилось что утилита дуракоустойчивая,я сделал все чего она не советовала)))
Даже перезагрузку отменил,полазил по компу и через час перезапустил.
Все ровно-утилита отработала.

 

[shestale]

use_RSIT=true
use_SITLog=true

а зачем ...или это для теста только?

 

[glax24]

Столкнулся с проблемой на одном компе не смог распаковать 7z поэтому теперь SITLog.zip

 

[shestale]

+
после перезагрузки, имхо так-же нужно сделать окно с предупреждением о выгрузке антивирусного ПО.

 

[akok]

++ лучше залить сюда https://safezone.cc/resources/categories/nashi-razrabotki.3/ удобнее за версиями следить.Зеркало нужно обновить:

https://safezone.cc/resources/system-information-to-log.51/download?version=62 - вот верная

 

[akok]

А как построена работа с повторными запусками? Что будет с старыми логами?

 

[shestale]

LastLog

Наверное в этой папке будут логи обновляться

 

[regist]

 

[akok]

Насколько я понял на тестовом вирусе построена проверка активности антивируса.

 

[regist]

Насколько я понял на тестовом вирусе построена проверка активности антивируса.

а оно нужно? Для размышлений https://safezone.cc/threads/test-na-eicar-ili-pochemu-skaner-na-nego-ne-rugaetsja.22247/#post-156471

А как построена работа с повторными запусками? Что будет с старыми логами?

 :: Не забываю удалить старые логи, если таковые имеются
For %%? in (
"%avz.logpath%\virusinfo_syscheck.htm"
"%avz.logpath%\virusinfo_syscheck.xml"
"%avz.logpath%\virusinfo_syscure.htm"
"%avz.logpath%\virusinfo_syscure.xml"
"%SystemDrive%\rsit\info.txt"
"%SystemDrive%\rsit\log.txt"
"%sit.path%\LOG\SITLog.txt"
"%sit.path%\LOG\SITLog_Info.txt"
) do (
if exist "%logs%\%%~nx?" del /f "%logs%\%%~nx?" >NUL
copy /y "%%~?" "%logs%\*" >NUL
)
:: Если ранее уже делали исследование, переименуем под префиксом _old_Дата_Время
if exist "%logs%\ViruLogs_forum.zip" move /y "%logs%\ViruLogs_forum.zip" "%logs%\ViruLogs_forum_old_%DateToday%_%TimeToday%.zip" >NUL

 

[Drongo]

Даже перезагрузку отменил,полазил по компу и через час перезапустил.

А как отменил перезагрузку? Я вот всё делал как она советовала, т.е. представил себя полным юзером выполняющим строго советы утилиты. Но если я не сохраню ничего из тех документов с которыми работаю, автоперезагрузка, мне кажется не очень правильное решение.

А как построена работа с повторными запусками?

Запись в ветку .../RunOnceEx единоразовый запуск.

И ещё такой вопрос, что проверяется и как создаётся контрольная точка скриптом? Так как у меня отключено восстановление системы, причём отключена служба и наблюдение за дисками, но скрипт рапортует об успешном создании к.т.

 

[regist]

Drongo, в теории утилита тебе включит службу, а на практике у меня оно осталось отключённым.