EasyCureLogs! - автоматический сборщик логов и лечения ПК

EasyCureLogs! - автоматический сборщик логов и лечения ПК 2.0.2.2.b (1.0.0.7)

Последнее редактирование:
Ну вот, а в XP нет. M$ они такие :)
Phoenix, дискеты записывал с готовых образов / или в свойстах -> форматирование диска A хватало опции создания системной.
 
Последнее редактирование:
Да.Только не забывай, что в x64 системах есть только 64-разрядная ее версия.
 
hjt-err.png

что за ошибка ? из-за этого
set tmp="%~dp0temp"
set temp=%tmp% ....
И на это
CMD/BATCH:
echo %programfiles%>>%homedrive%\forum_drweb\critical.txt
if exist "%programfiles(x86)%" echo %programfiles(x86)%>>%homedrive%\forum_drweb\critical.txt
Вывел два раза Program Files (x86)..
В старой версии скрипта были твики реестра, но поскольку они глючили я их упразднил. Посмотрите пожалуйста что тут не так. И строку включения сервера сценариев добавить.
CMD/BATCH:
@echo off
gjhgehg delete "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe" /f
gjhgehg delete "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\launch.exe" /f
gjhgehg delete "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xyz.pif" /f
gjhgehg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe" /f
gjhgehg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe" /f
gjhgehg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /f
gjhgehg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe" /f
gjhgehg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /f
gjhgehg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\makecab.exe" /f
gjhgehg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /f

gjhgehg ADD "HKEY_CLASSES_ROOT\exefile\shell\runas\command" /ve /t REG_SZ /d "%1" %* /f

echo test > c:\test\asdfg.txt
IF NOT EXIST c:\test\asdfg.txt (echo ‘®§¤ ©вҐ Ї ЇЄг C:\TEST!  CREATE FOLDER C:\TEST! & GOTO end)
del /f /q c:\test\asdfg.txt
ver
IF EXIST launch.exe ren launch.exe xyz.pif
IF EXIST xyz.pif.exe ren xyz.pif.exe xyz.pif
IF EXIST xyz.pif..exe ren xyz.pif..exe xyz.pif
IF NOT EXIST xyz.pif (echo ‚л ¤®«¦л ЇҐаҐЁ¬Ґ®ў вм Cureit ў xyz.pif !  You should properly rename Cureit! & GOTO files)

IF EXIST c:\test\cureit-fast.log del /f /q c:\test\cureit-fast.log

echo on
ver >> c:\test\cureit-fast.log

echo %HOMEDRIVE%\Documents and Settings\*.exe>critical.txt
echo %HOMEDRIVE%\Documents and Settings\*.dll>> critical.txt
echo %HOMEDRIVE%\Documents and Settings\*.sys>> critical.txt
echo %HOMEDRIVE%\Documents and Settings\*.tmp>> critical.txt
echo %HOMEDRIVE%\users\*.exe>> critical.txt
echo %HOMEDRIVE%\users\*.dll>> critical.txt
echo %HOMEDRIVE%\users\*.sys>> critical.txt
echo %HOMEDRIVE%\users\*.tmp>> critical.txt
echo %windir%\fonts\*.exe>> critical.txt
echo %windir%\Cursors>> critical.txt

start /wait xyz.pif /fast /al /ok /ar- /rp+c:\test\cureit-fast.log
start /wait xyz.pif /fast- /shell /ok /al /rp+c:\test\cureit-fast.log /sd- %windir%
start /wait xyz.pif /fast- /shell /ok /ar- /rp+c:\test\cureit-fast.log /@c:\test\critical.txt

@echo off

:files
echo on
IF NOT EXIST c:\test\cureit-fast.log (echo ЋвбгвбвўгҐв «®Ј!  Absent log file! & GOTO end)


dir %windir% /a /o:g-d >> c:\test\cureit-fast.log
dir %windir%\system32 /a /o:g-d >> c:\test\cureit-fast.log
dir %windir%\system32\drivers /a /o:g-d >> c:\test\cureit-fast.log
dir c:\test /a >> c:\test\cureit-fast.log

@echo off

echo on

start /wait makecab cureit-fast.log cureit-results.cab

explorer c:\test\

:end
(msg - ошибка 1702 при получении имени сеанса - о чём тут ? (хр) - тут с RPC вроде что то..)
 

Вложения

  • cureit_scan(old).7z
    19 KB · Просмотры: 1
Последнее редактирование:
Phoenix, интересный батник получился. Кое-что заберу себе :)
И строку включения сервера сценариев добавить.
по-умолчанию включен. Поэтому можно просто удалить блокирующий ключ:
Код:
reg delete "HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings" /v Enabled /F 2>NUL
В старой версии скрипта были твики реестра, но поскольку они глючили я их упразднил.
Глючат возможно потому, что Вы включили утилиту reg в состав сборки.
А они есть 2 версий - x32 и x64. Это нужно учитывать. Также версии reg.exe XP и Vista весьма отличаются.
Я не знаю совместимы ли они друг с другом. Нужно проверять. В крайнем случае брать XP-шную для всех ОС.
Если что могу попробовать комплект твиков.
msg - ошибка 1702 при получении имени сеанса - о чём тут ? (хр)
На какой строке кода?
что за ошибка ? из-за этого
set tmp="%~dp0temp"
set temp=%tmp% ....
Может быть. Дай полный скрипт файлом - посмотрю.Из недовольства:
"Переименуйте cureit -> в xyz.pif" - юзер может не догадаться, что нужно включить отображение расширений имени файла.
Лучше в .pif переименовывать уже внутри батника.И я бы в готовом батнике занулил бы вывод от команд, которые могут выдавать ошибки (я о REG DELETE) ... 2>NUL
 
Последнее редактирование:
И еще вот в этих местах:
Код:
reg delete "HKCU\SOFTWARE\Microsoft\Windows Script Host\Settings" /v Enabled /F 2>NUL
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows Script Host\Settings" /v Enabled /F 2>NUL
reg delete "HKCU\SOFTWARE\Wow6432Node\Microsoft\Windows Script Host\Settings" /v Enabled /F 2>NUL
и в идеале еще здесь (только SID нужно определять):
HKEY_USERS\{SID}\Software\Microsoft\Windows Script Host\SettingsНапример вот так:
Код:
FOR /F "UseBackQ tokens=2 delims=," %%a in (`WMIC UserAccount WHERE "Caption='%computername%\\%username%'" GET SID /format:csv`) do set "SID=%%a"
echo Current Sid is %SID%
Но это зависимость от WMIC.
Я могу сколько угодно сложно писать, но это не в пользу твоему утилю, так что не рекомендую.
 
и в идеале еще здесь (только SID нужно определять):
HKEY_USERS\{SID}\Software\Microsoft\Windows Script Host\Settings
Это имеет смысл только если владелец SID вошёл в систему, т.е. на серверах терминалов или в XP, когда несколько пользователей могут работать за одним компьютером одновременно. Для пользователей которые не вошли в систему поменять HKEY_USERS\{SID} не получится, даже если знать SID.
 
Может быть. Дай полный скрипт файлом - посмотрю.
--- Объединённое сообщение, Сегодня, в 00:25 ---
Из недовольства:
"Переименуйте cureit -> в xyz.pif" - юзер может не догадаться, что нужно включить отображение расширений имени файла.
Лучше в .pif переименовывать уже внутри батника.

cureit_scan(old).7z - это старый и писал его не я, и reg util не я ложил.:unsure:
это так сказать оригинал.
Твики с отключенным сервером сценария не срабатывают..
script_host_enable.reg вручную запускаю, тогда работает (до перезагрузки работает, что ли ??)

так сделал.
CMD/BATCH:
if not exist %homedrive%\forum_drweb md %homedrive%\forum_drweb
set tmp=%homedrive%\forum_drweb
set temp=%homedrive%\forum_drweb
 

Вложения

  • scan!.7z
    1.8 KB · Просмотры: 1
Последнее редактирование:
Про эту забыл:
Код:
reg delete "HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings" /v Enabled /F 2>NUL
 
Без прав не сработает.
Если так -start/wait .\script_host_enable.reg, то срабатывает, а после внесения в реестр не может найти зачем то (почему то).
upload_2013-11-25_9-13-4.png

В общем надо все твики превентом в рег-файле запускать.
Dragokas, кстати проверьте сборщик догов на xp-anti spy и на Генераторе вредилок. (в ЛС.)
 
Phoenix, проверяй, верный ли у тебя относительный путь во время данной операции:
echo %cd%

Я себе в сборщик добавил такое:
Код:
:CheckScriptLocked
  set "Lock_Key=SOFTWARE\Microsoft\Windows Script Host\Settings"
  reg delete "HKCU\%Lock_Key%" /v Enabled /F 2>NUL
  For /f "tokens=2*" %%a In ('REG QUERY "HKLM\%Lock_Key%" /v Enabled 2^>NUL') do set "ScriptLock=%%b"
  if "%ScriptLock%"=="0x0" (
    ;;; echo Обнаружена блокировка Script Host.
    REG ADD "HKLM\%Lock_Key%" /F /v Enabled /t REG_DWORD /d 0x1
    if errorlevel 1 start "" /WAIT "%bin%\WSH_Unlock.reg"
  )
Exit /B
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=-
Прав нет, но REG все равно добавляется успешно с затребованием их через UAC.
 
Последнее редактирование:
Phoenix, проверяй, верный ли у тебя относительный путь во время данной операции:
echo %cd%
Текущий каталог видит, а вот тест скрипт хост -
Неверная ссылка на корень в разделе реестра
WScript.Shell Object - OK.
Shell.Application Object - OK.
WScript.Network Object - OK.
ADODB.Stream Object - OK.
WMI Object - OK.
RegWrite Admin. - FAILED: -2147024891-Неверная ссылка на корень в разделе реестра "HKLM\SOFTWARE\Elevation_Test\".
===============================
WScript.Shell Object - OK.
Shell.Application Object - OK.
WScript.Network Object - OK.
ADODB.Stream Object - OK.
WMI Object - OK.
RegWrite Admin. - OK.
===============================
WScript.Shell Object - OK.
Shell.Application Object - OK.
WScript.Network Object - OK.
ADODB.Stream Object - OK.
WMI Object - OK.
All tests compeleted.
 
Dragokas, Вот так работает у меня. Годится ?
CMD/BATCH:
@echo off
:CheckScriptLocked
  set "Lock_Key=SOFTWARE\Microsoft\Windows Script Host\Settings"
  reg delete "HKCU\%Lock_Key%" /v Enabled /F 2>NUL
  For /f "tokens=2*" %%a In ('REG QUERY "HKLM\%Lock_Key%" /v Enabled 2^>NUL') do set "ScriptLock=%%b"
  if "%ScriptLock%"=="0x0" (
    ;;; echo Обнаружена блокировка Script Host.
    REG ADD "HKLM\%Lock_Key%" /F /v Enabled /t REG_DWORD /d 0x1
    if errorlevel 1 start "" /WAIT "WSH_Unlock.reg"
)
::Elevating
ver | find "6." && if "%1"=="" (
    Echo CreateObject^("Shell.Application"^).ShellExecute WScript.Arguments^(0^),"Admin","","runas",1 >"%~dp0Elevating.vbs"
    cscript.exe //nologo "%~dp0Elevating.vbs" "%~f0"& Exit /B
)
>nul del "%~dp0Elevating.vbs"
chdir /d "%~dp0"

:: <---код основной программы

А редактор реестра если заблокирован, что делать ? Нашёл UnHookExec.inf как его из батника установить не знаю.
CMD/BATCH:
[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
 
Победил вроде - от админа запускать, если UAC on и если есть блокировки реестра и/или Scripting Host.
 

Вложения

  • CureItScript+.zip
    938.7 KB · Просмотры: 5
Назад
Сверху Снизу