HijackScanner

Так уже запилил бы кто нибудь...вот кто то из вас смотря логи и видя кучу политик заморачивается и разбирается что они значат?
Наверняка нет.
я заморачиваюсь, наиболее часто встречаемые уже наизусть помню :).
Хочу сделать простейшую самозащиту(если вы заметили, то при запуске у формы имя всегда разное)
Тогда надо делать два варианта с рандомом и без. А то даже не понятно, как объяснить юзеру какой файл запускать. Да и нормальный вирус и так вашу утилиту прибьёт ;).
В итоге эта часть лога тупо хлам который большинство читающих лог просто пропускает.
Не хлам... а если какой хелпер на это забивает, то это косяк хелпера, а не утилиты.
Предлагаю для этих целей создать тему отдельно и выписывать настройки политик по категориям - другим тоже может пригодиться.
чтобы вирмейкерам проще было искать, что блокировать? :)
1. Из первого сообщения всё отработало
а я думал на твоей системе вообще не запустится. Там же привязка к Net - а уже только по этому она не заменит хиджак.
 
а я думал на твоей системе вообще не запустится. Там же привязка к Net - а уже только по этому она не заменит хиджак.
На большинстве компьютеров она будет работать, если понадобится - перепишу на делфи.
 
если понадобится - перепишу на делфи.
adm1nn, смысла нет возиться.
1) Таких утилит сейчас много, ещё одна никому неизвестная утилита не раскрутится.
2) Логи в текущем виде просто бесполезны.
3) Не знаю уровня ваших знаний, но для разработки утилиты на которую вы замахиваетесь надо знать работу хотя бы простеньких руткитов и антируткитов и много другое. Даже взять просто исправление проблем с LSP, к примеру там прописана вирусная .dll - тут одним стандартным виндоусовским сбросом настроек (то что у вас сейчас реализовано) не отделаться.
4) Для того чтобы утилита получилась удобной надо самому иметь опыт работы с подобными утилита и знать их минусы и плюсы.
Думаешь без нас не справятся)))?
я точно знаю, что они мониторят форумы подобные нашему и потом дорабатывают свои творения. А тут ты им уже готовую подборку, что и для чего заблокировать дашь.
 
Хочу создать аналог HijackThis, который будет лучше него.
Уже есть аналоги вроде OTL, FRST, SITLog, RSIT, OTM и т.д. Причем FRST мне кажется дальше всех в этом плане продвинулся.

Думаю имеет смысл создать утилиту, которая бы имела базовый скриптовый язык, но была заточена под конкретные цели, например, по отображению расширений в популярных браузерах, домашней страницы и т.д.
 
Последнее редактирование:
Koza Nozdri, даже больше скажу. На каком-то форуме, где вири пишут. Лично видел как кидали кусок кода от Олега Зайцева (кажись из его книги был), как образец чтобы взять за основу написания руткита.
Уже есть аналоги вроде OTL, FRST, SITLog, RSIT, OTM
и это только те (даже не все) которые использовались на этом форуме. А так утилит ещё больше. Поэтому и написал пункт №1 в своём предыдущем сообщение.
 
Небольшое обновление:
1) Упростил список автозапуска
2) Интегрировал скрипт sfc /scannow (спасибо Koza Nozdri)
Вызывается командой:
Код:
fix sfc
 

Вложения

  • nmbwyvgljfo.zip
    165.9 KB · Просмотры: 2
имхо, логичней было бы scan sfc
P.S. @all, в AVZ кстати в менюшке также есть проверка SFC и ещё много чего полезного, правда большиство этого не используют, а многие и не знают про эти его фичи.
 
В пути сохранения скорее всего пропущен слеш
Код:
Рабочий столHijackScanner.log
Файл хост у меня теперь вопросиками
Код:
???? ???? ???????? ?????????????
Интересно как происходит опознавание сервисов по базе безопасных? Тоесть, поимённо? Явно ведь легал, зачем его выводить тогда?

Код:
Сервис: CiSvc
Путь: C:\WINDOWS\system32\cisvc.exe
Состояние: Выключен

Сервис: ClipSrv
Путь: C:\WINDOWS\system32\clipsrv.exe
Состояние: Выключен

И лучше организовать вывод сервисов в одну строку, например так

[METKA СОСТОЯНИЯ] X [ИМЯ СЛУЖБЫ] NAME [ПУТЬ К ФАЙЛУ]
Код:
[S3] - [ClipSrv] - [C:\WINDOWS\system32\clipsrv.exe]
точно не помню уже метки, но по моему S3 - выключена, где-то была инструкция по OTMoveIt освещал этот вопрос там.
 
Обновление. Список нововведений:
  • Новое окно "запустить скрипт"
  • Изменен вывод списка сервисов
В пути сохранения скорее всего пропущен слеш
Код:
Рабочий столHijackScanner.log
Виновата опция в .net, заменил на винапишную. Должно помочь.

Интересно как происходит опознавание сервисов по базе безопасных? Тоесть, поимённо? Явно ведь легал, зачем его выводить тогда?
По имени, по пути к файлу и аргументам командной строки.
 

Вложения

  • nmbwyvgljfo.zip
    185.9 KB · Просмотры: 7
Всегда поддерживаю людей, которые на энтузиазме пытаются применить свои знания на что-то действительно нужное, а не ерунду всякую.

Запустил прямо из архива. Так понимаю, пока только лог собирает? Автосохранения лога нигде не нашел, т.е. пока ручками...
 
Всегда поддерживаю людей, которые на энтузиазме пытаются применить свои знания на что-то действительно нужное, а не ерунду всякую.

Запустил прямо из архива. Так понимаю, пока только лог собирает? Автосохранения лога нигде не нашел, т.е. пока ручками...
Автосохранение обычно в папке запуска :) Надо сначала распаковать, а потом запускать. Иначе архиватор удалит временную папку с логом.
 
Update:
  • Новые секции: "Провайдеры услуг", "Настройки LSA"
  • Добавлены новые записи в секции "Автозагрузка"
  • Добавлена обработка параметров REG_MULTI_SZ
 

Вложения

  • nmbwyvgljfo.zip
    188.6 KB · Просмотры: 1
  • Добавлены аргументы командной строки: /autolog /runscript
  • Оптимизировал код
  • Исправлен баг, в котором не обрабатывались пути с пробелами
-
 

Вложения

  • nmbwyvgljfo.zip
    189.5 KB · Просмотры: 1
  • nmbwyvgljfo.zip
    189.8 KB · Просмотры: 0
  • HijackScanner.zip
    189.8 KB · Просмотры: 0
  • Интегрированы/изменены новые микропрограммы лечения:
Код:
1) fix recbin - Восстанавливает ярлык Корзины на Рабочем столе.
Показания: пропала иконка Корзины на Рабочем столе.
2) fix fixrecbinicon - Восстанавливает иконки Корзины на Рабочем столе.
Показания: не меняется иконка Корзины при очистке/заполнении.
3) fix memory - Запускет средство диагностики оперативной памяти.
Показания: проблемы с оперативной памятью.
4) fix folderoptions - Восстанавливает доступ к настройкам папок в Панели управления.
Показания: не открывается/пропал пункт "Настройки папок".
5) fix explorerstartup - Восстанавливает настройки автозапуска Проводника.
Показания: не открывается при загрузке системы Проводник(видно только фоновая картинка рабочего стола).
6) fix picthumbnail - Восстанавливает показ миниатюр фотографий в Проводнике.
Показания: не отображаются миниатюры картинок в Проводнике.
7) fix cd - Восстанавливает настройки проводника, связнные с CD.
Показания: не разпознаются CD/DVD.
8) fix taskmgr - Восстанавливает доступ к Диспетчеру задач.
Показания: при попытке запустить Диспетчер задач отображается сообщение: "Диспетчер задач отключен администратором".
9) fix regedit - Восстанавливает доступ к Редактору реестра.
Показания: при попытке запустить Редактор реестра отображается сообщение: "Редактор реестра отключен администратором".
10) fix cmd - Восстанавливает доступ к Командной строке.
Показания: при попытке запустить Командную строку отображается сообщение: "Приглашение командной строки отключено вашим администратором".
11) fix sysrestore - Восстанавливает доступ к Восстановлению системы.
Показания: при попытке включения Восстановления системы отображается сообщение: "Восстановление системы отключено системным администратором".
12) reset tcpip - Сброс настроек TCP/IP.
13) reset winsock - Сброс настроек Winsock.
Показания: не работает Интернет.
14) reset recbin - Сброс Корзины.
Показания: не работает Корзина.
-*-
 

Вложения

  • HijackScanner.zip
    191.7 KB · Просмотры: 5
adm1nn, результат выполнения скрипта?
Код:
HijackScanner v0.5
Время: 06.01.2016 22:11

автозагрузка - неинформативно (не все видит)
ты не думал о разделении лога?
+ когда утиль что то выполняет по завершении тупо теряется...может хоть мессендж какой выводить?
 
Назад
Сверху Снизу