EasyCureLogs! - автоматический сборщик логов для лечения на Dr.Web forum

EasyCureLogs! - утилита для сбора логов и лечения с помощью Dr.Web CureIt!® 1.0.1.6

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,594
Реакции
6,103
Баллы
1,008
Тем более что есть у вас разблокировщик на inf.
по той ссылке как раз обсуждается, что если повредить ассоциации EXE то INF работать перестают, так что вопрос насколько он нужен ...
Содержимое по ссылке из той темы скину в ЛС.просто не хочется обсуждать в паблике способы блокировки EXE.
 
Последнее редактирование:

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503
Понятное дело, но тогда и утилита.exe тоже не запустится, что и будет говорить о блокировке .exe ,на все случаи вряд ли наготовишь.. и на крайний случай разблокировать реестр и ассоциации можно с LiveCD (DrWeb-KAV). Мне будет достаточно, если утиль отработает в большинстве случаев. А так да, plstfix не всегда помогает.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,272
Реакции
6,052
Баллы
718
Phoenix, если интересно, нашел способ запускать программно INF с одновременным запросом привилегий:

"C:\Windows\System32\InfDefaultInstall.exe" "my.inf"

Жаль, таким образом вызывается упрощенная версия интерпретатора (setupapi), а не advpack.
Так можно было бы запускать из-под inf и другие процессы. Эксперимент не удался.

В XP по-умолчанию:
"C:\WINDOWS\System32\rundll32.exe" setupapi,InstallHinfSection DefaultInstall 132 "my.inf"
и утилиты InfDefaultInstall.exe там нет. Поэтому нужно проверять версию системы, прежде чем нею пользоваться.Еще нашел способ через глагол "Установить" на VBScript:
Код:
inf = "Elevate.inf"
cur = WScript.ScriptFullname: inf = left(cur, instrrev(cur, "\")) & inf
CreateObject("Shell.Application").Namespace(left(inf, 3)).ParseName(mid(inf, 4)).InvokeVerb("Install")
 
Последнее редактирование:

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503
1. Сделал русское меню и прочие диалоги (правда пока в cmd).
2. Исправил переходы по меткам - если доктора на пк нет, то переходил по меткам , отображал объекты сканирования с выводом же ошибки - в общем не красиво было.
(если нет - пишет сканер не найден и в возвращается в меню).
3. Утилты разблокировки отделил (инф и plstfix)
4. Убрал не нужные проверки, элевацию прав из скрипта.
Код:
echo ----------------------------------
echo -                                -
echo -    1. ‡ Јаг§Ёвм CureIt        -
echo -    2. ‘Є Ёа®ў вм б CureIt    -
echo -    3. ‘Є Ґа DrWeb AV          -
echo -    4. ‘®Ўа вм ®взсвл          -
echo -    5. “вЁ«Ёв  DWSYSINFO        -
echo -    6. “вЁ«Ёв  plstfix          -
echo -    7. “вЁ«Ёв  mwz_unhooker    -
echo -    0. ‚л室                    -
echo -                                -
echo ----------------------------------
echo ‚ўҐ¤ЁвҐ жЁдаг ЇгЄв  ¬Ґо Ё  ¦¬ЁвҐ ENTER.
:wacky::banghead:
+ С выходом 9-й версии CureIt отпала необходимость отключения защитного экрана, соответственно ключ тоже убрал.
Ага, вот и ошибка..
chcp.png
 

Вложения

Последнее редактирование:

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503

Вложения

Последнее редактирование:

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503
Нашёл ошибку (и исправил) - опять с путями и переменными из под 7zsfx
пришлось так сделать.
Код:
:Scan
::search scanner 7,8-9,CureIt
if exist "%homedrive%\program files\DrWeb\dwscanner.exe" goto DRW
if exist "%homedrive%\program files (86)\DrWeb\dwscanner.exe" goto DRWX
 

Вложения

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503
CMD/BATCH:
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedt32.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
AVZ диагностирует нарушение ассоциаций после этого анхука..
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,272
Реакции
6,052
Баллы
718
Phoenix, оригинальные параметры выглядят не так, как в этом твике.
Вот правильный:
Код:
[Version]
Signature="$Windows NT$"
Provider=Phoenix

[DefaultInstall]
AddReg = AddReg
DelReg = DelReg

[AddReg]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" /S"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020
HKLM, Software\Microsoft\Windows Script Host\Settings,Enabled,0x00000020,1
HKCU, Software\Microsoft\Windows Script Host\Settings,Enabled,0x00000020,1

[DelReg]
HKCU,"Software\Microsoft\Windows Script Host\Settings","TrustPolicy"
HKLM,"Software\Microsoft\Windows Script Host\Settings","TrustPolicy"
HKLM, "Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe"
HKLM, "Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe"
Идентичность ключей проверил на XP x32, Win7 x32, 8x64.

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
вместо regedt32
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" /S"
вместо *%

И wscript.exe, cscript.exe их не добавлять надо, а удалять из Image File Execution Options.
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503
И wscript.exe, cscript.exe их не добавлять надо, а удалять из Image File Execution Options.
Тут есть вопрос !
Вот мой экспорт этой ветки - то есть HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
Есть развернутая информация по этой теме ?
CMD/BATCH:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dllhost.exe]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions]
"mscoree.dll"=dword:00000001
"NAVOPTRF.dll"=dword:00000001
"jvm.dll"=dword:00000001
"mscorwks.dll"=dword:00000001
"javai.dll"=dword:00000001
"PMSTE.dll"=dword:00000001
"Vegas60k.dll"=dword:00000001
"Cleanup.dll"=dword:00000001
"symlcnet.dll"=dword:00000001
"main123w.dll"=dword:00000001
"DJSMAR00.dll"=dword:00000001
"divx.dll"=dword:00000001
"ppw32hlp.dll"=dword:00000001
"ASSTE.dll"=dword:00000001
"msjava.dll"=dword:00000001
"TFDTCTT8.dll"=dword:00000001
"mscorsvr.dll"=dword:00000001
"DRMINST.dll"=dword:00000001
"vb40032.dll"=dword:00000001
"NPMLIC.dll"=dword:00000001
"eMigrationmmc.dll"=dword:00000001
"mso.dll"=dword:00000001
"eProcedureMMC.dll"=dword:00000001
"eQueryMMC.dll"=dword:00000001
"vbe6.dll"=dword:00000001
"xlmlEN.dll"=dword:00000001
"msci_uno.dll"=dword:00000001
"divxdec.ax"=dword:00000001
"Apitrap.dll"=dword:00000001
"NSWSTE.dll"=dword:00000001
"udtapi.dll"=dword:00000001
"ISSTE.dll"=dword:00000001
"EncryptPatchVer.dll"=dword:00000001
"jvm_g.dll"=dword:00000001
"fullsoft.dll"=dword:00000001
"ums.dll"=dword:00000001
"AVSTE.dll"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drvinst.exe]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ehexthost32.exe]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ExtExport.exe]
"MitigationOptions"=hex(b):00,01,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FlashPlayerApp.exe]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FlashPlayerPlugin_11_9_900_170.exe]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FlashPlayerUpdateService.exe]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FlashUtil32_11_9_900_170_Plugin.exe]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FlashUtil64_11_9_900_170_Plugin.exe]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe]
"DisableExceptionChainValidation"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ie4uinit.exe]
"MitigationOptions"=hex(b):00,01,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieinstal.exe]
"MitigationOptions"=hex(b):00,01,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ielowutil.exe]
"MitigationOptions"=hex(b):00,01,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ieUnatt.exe]
"MitigationOptions"=hex(b):00,01,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msfeedssync.exe]
"MitigationOptions"=hex(b):00,01,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mshta.exe]
"MitigationOptions"=hex(b):00,01,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PresentationHost.exe]
"MitigationOptions"=hex(b):11,11,11,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PrintIsolationHost.exe]
"MitigationOptions"=hex(b):00,00,20,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runtimebroker.exe]
"MitigationOptions"=hex(b):00,00,00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchprotocolhost.exe]
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\splwow64.exe]
"MitigationOptions"=hex(b):00,00,20,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spoolsv.exe]
"MitigationOptions"=hex(b):00,00,20,00,00,00,00,00
"DisableExceptionChainValidation"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SystemSettings.exe]
"MitigationOptions"=hex(b):00,00,00,00,01,00,00,00
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,272
Реакции
6,052
Баллы
718
У меня еще вот такое:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
    DisableExceptionChainValidation    REG_DWORD    0x0
    DisableUserModeCallbackFilter    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{ApplicationVerifierGlobalSettings}
    VerifierProviders    REG_SZ    vrfcore.dll vfbasics.dll vfcompat.dll vfluapriv.dll vfprint.dll vfnet.dll vfntlmless.dll vfnws.dll vfcuzz.dll
На счет DisableExceptionChainValidation. Это защита SEHOP (Structured Exception Handler Overwrite Protection), ECV (Exception Chain Validation)
Непростая штука для объяснения (я еще сам не вкурил :)
В общем значение = 0 - это включить защиту.
Подробнее об этой защите:
http://support.microsoft.com/kb/956607/ru
http://9b.asoiu.com/?p=1991
http://www.ghacks.net/2012/07/16/advanced-windows-security-activating-sehop/
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503
Это типа отладчика...перенаправление запуска или обработки.
Что именно нужно то?
Ну, разобраться в том, что надо удалять из этой ветки, что не надо.. То есть при каких условиях программа не запустится совсем.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,272
Реакции
6,052
Баллы
718
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

А за что отвечает этот ключ, кто подскажет?и этот ключ интересует. Его нет в оригинальной системе. Но эта запись безопасна.
Что она делает?
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]

Phoenix, извини, что в твоей теме. Если что я создам новую.
Это твики лечения из того же genericrepairreg.inf by Mikhail Zhilin, что я давал.
 

Кирилл

Команда форума
Администратор
Сообщения
14,048
Реакции
6,389
Баллы
993
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
Это запчасть от winrar,вызов нужной dll


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
А за что отвечает этот ключ, кто подскажет?

Если в трех словах:

Это вызов зарегистрированного объекта SHELL32.DLL, параметры которого определяются глаголом shell.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
DisableExceptionChainValidation REG_DWORD 0x0
DisableUserModeCallbackFilter REG_DWORD 0x1
В этом разделе можно назначить обработку вызова какой либо программы или файла по определенному сценарию.
Например что бы при вызове userinit.exe запускался скажем kakashka.exe,который написал злобный куллхацкер)

В случае у Dragokas это параметры выполнения файла или программы/процесса.
Отключение пользовательского фильтра и настроек данного файла из обработки в разделе.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions
Этот параметр содержит список библиотек DLL, которые несовместимы с DEP.


Ну, разобраться в том, что надо удалять из этой ветки, что не надо.. То есть при каких условиях программа не запустится совсем.
Грубо говоря если видим раздел ***.exe а в нем параметр
Debugger
то то что мы увидим в значении параметра будет являться программой запускаемой вместо указанной в названии раздела.
+ то что привел в ссылках Dragokas

 

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503
Грубо говоря если видим раздел ***.exe а в нем параметр
Debugger
...то что мы увидим в значении параметра будет являться программой запускаемой вместо указанной в названии раздела.
+ то что привел в ссылках Dragokas
Спасибо, я как то так и думал, но не был уверен.
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503
Сделал установщик с деинсталятором в inno setup. Только не соображу как иконку ярлыка на cmd сделать..
Добавил ERUNT с параметрами ERUNT.EXE regbackup /noprogresswindow /noconfirmdelete (так он удаляет предыдущий бэкап..)
Код:
Windows App Certification Kit - результаты тестирования
Название приложения:
EasyCureLogs, версия 1.0.0.5
Издатель приложения:
Phoenix, Inc.
Версия приложения:
1.0.0.5
Версия ОС:
Microsoft Windows 7 Профессиональная (6.1.7601.65536)
Версия комплекта:
3.1
Время создания отчета:
22.12.2013 22:50:13

Общий результат: ПРОЙДЕНО С ПРЕДУПРЕЖДЕНИЯМИ
 

Вложения

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,272
Реакции
6,052
Баллы
718
Общий результат: ПРОЙДЕНО С ПРЕДУПРЕЖДЕНИЯМИ
Как я понимаю, цифровая подпись не добавилась?
Только не соображу как иконку ярлыка на cmd сделать..
Попробуй эту часть сгенерировать (посмотреть) через IsTool
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,063
Баллы
503
Нет, цифровая подпись не добавилась. Надо regbackup и логи переложить - ведь они в установку не входят, но тогда и курейт...
Положил иконку в папку установки и вот так работает.. Странно на унинсталер берёт иконку, а на ярлык нет..
PHP:
[Icons]
Name: "{group}\{#MyAppName}"; Filename: "{app}\{#MyAppExeName}"; IconFilename: "{app}\Icon_1.ico"
Name: "{group}\{cm:programOnTheWeb,{#MyAppName}}"; Filename: "{#MyAppURL}"
Name: "{group}\{cm:UninstallProgram,{#MyAppName}}"; Filename: "{uninstallexe}"
Name: "{commondesktop}\{#MyAppName}"; Filename: "{app}\{#MyAppExeName}"; Tasks: desktopicon; IconFilename: "{app}\Icon_1.ico"
Код:
IconFilename
The filename of a custom icon (located on the user's system) to be displayed. This can be an executable image (.exe, .dll) containing icons or a .ico file.
If this parameter is not specified or is blank, Windows will use the file's default icon. This parameter can include constants.
\Inno Script Studio - это то же , но юзабельнее и как то русский поставил.
Если запустить \Inno Setup 5\Ispack-setup.exe - он закачает Script Studio.
Там такая же функция есть, через неё и получил подсказку, спасибо.
  • Предупреждение: Тест подписи файлов и драйверов обнаружил следующие ошибки:
    • Не относящийся к драйверам файл C:\Program Files (x86)\EasyCureLogs\regbackup\ERDNT.EXE не имеет допустимой подписи, как встроенной, так и полученной через файл каталога.
    • Не относящийся к драйверам файл C:\Program Files (x86)\EasyCureLogs\erunt\ERUNT.EXE не имеет допустимой подписи, как встроенной, так и полученной через файл каталога.
    • Не относящийся к драйверам файл C:\Program Files (x86)\EasyCureLogs\wget.exe не имеет допустимой подписи, как встроенной, так и полученной через файл каталога.
    • Не относящийся к драйверам файл C:\Program Files (x86)\EasyCureLogs\HijackThis.exe не имеет допустимой подписи, как встроенной, так и полученной через файл каталога.
    • Не относящийся к драйверам файл C:\Program Files (x86)\EasyCureLogs\7za.exe не имеет допустимой подписи, как встроенной, так и полученной через файл каталога.
    • Не относящийся к драйверам файл C:\Program Files (x86)\EasyCureLogs\unins000.exe не имеет допустимой подписи, как встроенной, так и полученной через файл каталога.
    • Файл основного установщика приложения C:\Users\SNS\Desktop\EasyCureLogs(release).exe не имеет допустимой подписи, как встроенной, так и полученной через файл каталога.
Это проверка на сертификацию, подписи уже должны иметься o_O
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,005
Баллы
2,203
Кстати, как боевое использование разработки?
 
Сверху Снизу