HijackScanner

adm1nn

Активный пользователь
Сообщения
80
Реакции
10
Баллы
178
Полностью согласен.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,098
Реакции
6,267
Баллы
1,008
Так уже запилил бы кто нибудь...вот кто то из вас смотря логи и видя кучу политик заморачивается и разбирается что они значат?
Наверняка нет.
я заморачиваюсь, наиболее часто встречаемые уже наизусть помню :).
Хочу сделать простейшую самозащиту(если вы заметили, то при запуске у формы имя всегда разное)
Тогда надо делать два варианта с рандомом и без. А то даже не понятно, как объяснить юзеру какой файл запускать. Да и нормальный вирус и так вашу утилиту прибьёт ;).
В итоге эта часть лога тупо хлам который большинство читающих лог просто пропускает.
Не хлам... а если какой хелпер на это забивает, то это косяк хелпера, а не утилиты.
Предлагаю для этих целей создать тему отдельно и выписывать настройки политик по категориям - другим тоже может пригодиться.
чтобы вирмейкерам проще было искать, что блокировать? :)
1. Из первого сообщения всё отработало
а я думал на твоей системе вообще не запустится. Там же привязка к Net - а уже только по этому она не заменит хиджак.
 

adm1nn

Активный пользователь
Сообщения
80
Реакции
10
Баллы
178
а я думал на твоей системе вообще не запустится. Там же привязка к Net - а уже только по этому она не заменит хиджак.
На большинстве компьютеров она будет работать, если понадобится - перепишу на делфи.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,098
Реакции
6,267
Баллы
1,008
если понадобится - перепишу на делфи.
adm1nn, смысла нет возиться.
1) Таких утилит сейчас много, ещё одна никому неизвестная утилита не раскрутится.
2) Логи в текущем виде просто бесполезны.
3) Не знаю уровня ваших знаний, но для разработки утилиты на которую вы замахиваетесь надо знать работу хотя бы простеньких руткитов и антируткитов и много другое. Даже взять просто исправление проблем с LSP, к примеру там прописана вирусная .dll - тут одним стандартным виндоусовским сбросом настроек (то что у вас сейчас реализовано) не отделаться.
4) Для того чтобы утилита получилась удобной надо самому иметь опыт работы с подобными утилита и знать их минусы и плюсы.
Думаешь без нас не справятся)))?
я точно знаю, что они мониторят форумы подобные нашему и потом дорабатывают свои творения. А тут ты им уже готовую подборку, что и для чего заблокировать дашь.
 

mike 1

Ветеран
Сообщения
2,435
Реакции
937
Баллы
533
Хочу создать аналог HijackThis, который будет лучше него.
Уже есть аналоги вроде OTL, FRST, SITLog, RSIT, OTM и т.д. Причем FRST мне кажется дальше всех в этом плане продвинулся.

Думаю имеет смысл создать утилиту, которая бы имела базовый скриптовый язык, но была заточена под конкретные цели, например, по отображению расширений в популярных браузерах, домашней страницы и т.д.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,098
Реакции
6,267
Баллы
1,008
Koza Nozdri, даже больше скажу. На каком-то форуме, где вири пишут. Лично видел как кидали кусок кода от Олега Зайцева (кажись из его книги был), как образец чтобы взять за основу написания руткита.
Уже есть аналоги вроде OTL, FRST, SITLog, RSIT, OTM
и это только те (даже не все) которые использовались на этом форуме. А так утилит ещё больше. Поэтому и написал пункт №1 в своём предыдущем сообщение.
 

adm1nn

Активный пользователь
Сообщения
80
Реакции
10
Баллы
178
Небольшое обновление:
1) Упростил список автозапуска
2) Интегрировал скрипт sfc /scannow (спасибо Koza Nozdri)
Вызывается командой:
Код:
fix sfc
 

Вложения

  • nmbwyvgljfo.zip
    165.9 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,098
Реакции
6,267
Баллы
1,008
имхо, логичней было бы scan sfc
P.S. @all, в AVZ кстати в менюшке также есть проверка SFC и ещё много чего полезного, правда большиство этого не используют, а многие и не знают про эти его фичи.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,831
Реакции
5,561
Баллы
808
В пути сохранения скорее всего пропущен слеш
Код:
Рабочий столHijackScanner.log
Файл хост у меня теперь вопросиками
Код:
???? ???? ???????? ?????????????
Интересно как происходит опознавание сервисов по базе безопасных? Тоесть, поимённо? Явно ведь легал, зачем его выводить тогда?

Код:
Сервис: CiSvc
Путь: C:\WINDOWS\system32\cisvc.exe
Состояние: Выключен

Сервис: ClipSrv
Путь: C:\WINDOWS\system32\clipsrv.exe
Состояние: Выключен

И лучше организовать вывод сервисов в одну строку, например так

[METKA СОСТОЯНИЯ] X [ИМЯ СЛУЖБЫ] NAME [ПУТЬ К ФАЙЛУ]
Код:
[S3] - [ClipSrv] - [C:\WINDOWS\system32\clipsrv.exe]
точно не помню уже метки, но по моему S3 - выключена, где-то была инструкция по OTMoveIt освещал этот вопрос там.
 

adm1nn

Активный пользователь
Сообщения
80
Реакции
10
Баллы
178
Обновление. Список нововведений:
  • Новое окно "запустить скрипт"
  • Изменен вывод списка сервисов
В пути сохранения скорее всего пропущен слеш
Код:
Рабочий столHijackScanner.log
Виновата опция в .net, заменил на винапишную. Должно помочь.

Интересно как происходит опознавание сервисов по базе безопасных? Тоесть, поимённо? Явно ведь легал, зачем его выводить тогда?
По имени, по пути к файлу и аргументам командной строки.
 

Вложения

  • nmbwyvgljfo.zip
    185.9 KB · Просмотры: 7

-SEM-

Активный пользователь
Сообщения
114
Реакции
86
Баллы
273
Всегда поддерживаю людей, которые на энтузиазме пытаются применить свои знания на что-то действительно нужное, а не ерунду всякую.

Запустил прямо из архива. Так понимаю, пока только лог собирает? Автосохранения лога нигде не нашел, т.е. пока ручками...
 

adm1nn

Активный пользователь
Сообщения
80
Реакции
10
Баллы
178
Всегда поддерживаю людей, которые на энтузиазме пытаются применить свои знания на что-то действительно нужное, а не ерунду всякую.

Запустил прямо из архива. Так понимаю, пока только лог собирает? Автосохранения лога нигде не нашел, т.е. пока ручками...
Автосохранение обычно в папке запуска :) Надо сначала распаковать, а потом запускать. Иначе архиватор удалит временную папку с логом.
 

adm1nn

Активный пользователь
Сообщения
80
Реакции
10
Баллы
178
Update:
  • Новые секции: "Провайдеры услуг", "Настройки LSA"
  • Добавлены новые записи в секции "Автозагрузка"
  • Добавлена обработка параметров REG_MULTI_SZ
 

Вложения

  • nmbwyvgljfo.zip
    188.6 KB · Просмотры: 1

adm1nn

Активный пользователь
Сообщения
80
Реакции
10
Баллы
178
  • Добавлены аргументы командной строки: /autolog /runscript
  • Оптимизировал код
  • Исправлен баг, в котором не обрабатывались пути с пробелами
-
 

Вложения

  • nmbwyvgljfo.zip
    189.5 KB · Просмотры: 1
  • nmbwyvgljfo.zip
    189.8 KB · Просмотры: 0
  • HijackScanner.zip
    189.8 KB · Просмотры: 0

adm1nn

Активный пользователь
Сообщения
80
Реакции
10
Баллы
178
  • Интегрированы/изменены новые микропрограммы лечения:
Код:
1) fix recbin - Восстанавливает ярлык Корзины на Рабочем столе.
Показания: пропала иконка Корзины на Рабочем столе.
2) fix fixrecbinicon - Восстанавливает иконки Корзины на Рабочем столе.
Показания: не меняется иконка Корзины при очистке/заполнении.
3) fix memory - Запускет средство диагностики оперативной памяти.
Показания: проблемы с оперативной памятью.
4) fix folderoptions - Восстанавливает доступ к настройкам папок в Панели управления.
Показания: не открывается/пропал пункт "Настройки папок".
5) fix explorerstartup - Восстанавливает настройки автозапуска Проводника.
Показания: не открывается при загрузке системы Проводник(видно только фоновая картинка рабочего стола).
6) fix picthumbnail - Восстанавливает показ миниатюр фотографий в Проводнике.
Показания: не отображаются миниатюры картинок в Проводнике.
7) fix cd - Восстанавливает настройки проводника, связнные с CD.
Показания: не разпознаются CD/DVD.
8) fix taskmgr - Восстанавливает доступ к Диспетчеру задач.
Показания: при попытке запустить Диспетчер задач отображается сообщение: "Диспетчер задач отключен администратором".
9) fix regedit - Восстанавливает доступ к Редактору реестра.
Показания: при попытке запустить Редактор реестра отображается сообщение: "Редактор реестра отключен администратором".
10) fix cmd - Восстанавливает доступ к Командной строке.
Показания: при попытке запустить Командную строку отображается сообщение: "Приглашение командной строки отключено вашим администратором".
11) fix sysrestore - Восстанавливает доступ к Восстановлению системы.
Показания: при попытке включения Восстановления системы отображается сообщение: "Восстановление системы отключено системным администратором".
12) reset tcpip - Сброс настроек TCP/IP.
13) reset winsock - Сброс настроек Winsock.
Показания: не работает Интернет.
14) reset recbin - Сброс Корзины.
Показания: не работает Корзина.
-*-
 

Вложения

  • HijackScanner.zip
    191.7 KB · Просмотры: 5

Кирилл

Команда форума
Администратор
Сообщения
14,210
Реакции
6,239
Баллы
1,003
adm1nn, результат выполнения скрипта?
Код:
HijackScanner v0.5
Время: 06.01.2016 22:11

автозагрузка - неинформативно (не все видит)
ты не думал о разделении лога?
+ когда утиль что то выполняет по завершении тупо теряется...может хоть мессендж какой выводить?
 
Сверху Снизу