Парсер логов AVZ

Парсер логов AVZ 3.03 [2019.01.01]

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Уверен. Их AdWare.Win32.Tirrip прописывает.
Я не о конкретно этих прокси, а о настройках в принципе, если принимать решение по прокси, то парсер тогда учить нужно, а как я выше предложил.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
110-й почтовый порт, а 80-й очень даже стандартный, как для прокси-серверов, так и для других программ.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
shestale, смысла в отдельной базе троянских портов используемых для прокси, а тем более Pirrit нет. Он устанавливает локальный прокси сервер (анологичный тому, какой ставит и сам юзер если хочет поднять у себя прокси) и рандомно прописывает там прокси. Тот же порт может быть прописан и юзером. При этом если при активном пиррите удалить в реестре запись о прокси из реестра, то при следующей перезагрузки он заново пропишет его с новым рандомным портом. В закрытом разделе я кажись выкладывал скрины процесмона при работающем пиррите.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
чень даже стандартный, как для прокси-серверов, так и для других программ
Да, конечно. Там(в той статье из которой я и скопировал этот список) скорее имелось ввиду, что трояны могут проникать и через эти порты, в том числе, поэтому они попали в список.
 
Последнее редактирование:

BORODA(C)

Активный пользователь
Сообщения
118
Реакции
36
Баллы
108
Пример в аттаче. Даже на мой неискушённый взгляд видно, что там тонна файлов с непроизносимым именем, типа 1dce79ea-379a-487b-84c8-487f5cb6ebf7-1-6.exe и задач 1dce79ea-379a-487b-84c8-487f5cb6ebf7-1-6.job Шаблон из коробки предлагает существенно меньше:
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\Эльчин\appdata\roaming\6a1c9b11-1434633972-e011-9e16-1c75087bca58\knsv750c.tmp');
TerminateProcessByName('c:\users\d61d~1\appdata\local\temp\nsbae47.tmp');
TerminateProcessByName('c:\users\d61d~1\appdata\local\temp\nshd146.tmp');
StopService('demigenu');
StopService('demigenu');
QuarantineFile('c:\users\Эльчин\appdata\roaming\6a1c9b11-1434633972-e011-9e16-1c75087bca58\knsv750c.tmp', '');
QuarantineFile('c:\users\d61d~1\appdata\local\temp\nsbae47.tmp', '');
QuarantineFile('c:\users\d61d~1\appdata\local\temp\nshd146.tmp', '');
QuarantineFile('C:\Users\Эльчин\AppData\Local\Temp\nsuE35F.tmp\blowfish.dll', '');
DeleteFile('c:\users\Эльчин\appdata\roaming\6a1c9b11-1434633972-e011-9e16-1c75087bca58\knsv750c.tmp', '32');
DeleteFile('c:\users\d61d~1\appdata\local\temp\nsbae47.tmp', '32');
DeleteFile('c:\users\d61d~1\appdata\local\temp\nshd146.tmp', '32');
DeleteFile('C:\Users\Эльчин\AppData\Local\Temp\nsuE35F.tmp\blowfish.dll', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zswkdueqcv','command');
DeleteService('demigenu');
ExecuteSysClean;
BC_DeleteSvc('demigenu');
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Соответственно, вопрос: это недоработка парсера, либо нужно составлять шаблоны самому, что бы подобное показывалось в парсере?
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
BORODA(C),
1) Парсер это не идеальный инструмент который даёт готовый скрипт лечения. Это просто помощник хелпера. Скрипт составленный парсером должен пересматриваться хелпером при необходимости должны удаляться оттуда строки с удалением легала и дополняться пропущенными строками.
2) То что имя непроизносимое это видно на человеческий взгляд. А как объяснить это программе? Тем более, что имя имеет рандомное название? Так что в некоторых случаях парсер возможно создаст полноценный скрипт который можно выполнять без поправок, а в некоторых придётся дополнять самому.
3) По конкретному логу и файлам приведёнными вами, можно добавить в базу малвари например маски
Код:
\savepass
\CinemaPlus
\HD-V1.9
результат сразу улучшится. Как добавлять маски есть в справке.
 

BORODA(C)

Активный пользователь
Сообщения
118
Реакции
36
Баллы
108
Моя ошибка в том, что я считал, что парсер фильтрует по белому списку, а остальное хелпер чистит руками. Сейчас осознал, что на потоке это не выполнимо - слишком времязатратно. Спасибо за пояснения!
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
BORODA(C), к своему предыдущему посту добавлю, что последние версии парсера позволяют добавлять маски с регулярными выражениями. За счёт этого если правильно продумать выражение можно добавлять и файлы/папки с некоторыми рандомными названиями.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
Пользователь regist обновил ресурс Парсер логов AVZ новой записью:

Новогодняя версия

Немного улучшений.

1. Горячие клавиши, при нажатии CTRL + SHIFT + HotKey в команду вставится путь из буфера. Также, улучшена команда Ctrl + F для быстрого оформления команды, теперь также, добавляется удаление ключа/параметра. Подробнее в справке.
2. Пользовательская (настраиваемая) маска для карантина (Recommendation.ini)
3. Ввиду того, что AVZ при удаление заданий не чистит реестр, то удаление заданий планировщика командами AVZ заменено на удаление через schtasks.exe.
4....
Узнать больше об этом обновлении...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
Предлагаю проверить удобство использования парсера на этом логе. Для ленивых скрипт под спойлером.
PS. Под лог ничего не затачивалось, скрипт вручную не редактировался.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('ginoquci');
QuarantineFileF('c:\program files (x86)\gmsd_re_005010153', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\gmsd_re_005010155', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\gmsd_re_005010159', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\acer\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsxF68.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj9354.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj2E6D.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrB745.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsfF305.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz6E64.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz36B4.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl6FFD.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsg2B1E.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj18C9.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsv4838.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsiF088.tmp', '');
QuarantineFile('C:\Users\Acer\AppData\Local\Temp\nsy8B3.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsa62A2.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsk2649.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsk913D.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsi64C.tmp', '');
QuarantineFile('C:\Users\Acer\AppData\Local\51D25470-1446218189-1320-0405-202021000000\qnsb1F41.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsi6363.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsc4C03.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knspBAE1.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knskF79B.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsh198.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz9661.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdF384.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssE1D6.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsvE9EF.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsiC1D3.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knst18AF.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsb62B8.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knscD3E6.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knskD2FA.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl69E5.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsw882C.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl855.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssC9E8.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsr9E27.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssFAC.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse5D38.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz615F.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsn2C5D.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsx26BC.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj16CA.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsmF2A7.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrD9DF.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdBCD2.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsn1322.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdF8CD.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knseB20D.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse5EB.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knstDE5.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse126A.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsf4555.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrAFA6.tmp', '');
QuarantineFile('C:\Program Files (x86)\gmsd_re_005010153\gmsd_re_005010153.exe', '');
QuarantineFile('C:\Program Files (x86)\gmsd_re_005010155\gmsd_re_005010155.exe', '');
QuarantineFile('C:\Program Files (x86)\gmsd_re_005010159\gmsd_re_005010159.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\Browsers\exe.resworb.bat', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\Browsers\exe.atemok.bat', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\jPv2VvTV.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\MN5C2AKtEuZ7jr3P.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\w26Lg1Fb.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\ZbujkFeaBKMlMgZL5CfQ8iTS.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Local\SystemDir\nethost.exe', '');
DeleteFile('C:\Windows\Tasks\jPv2VvTV.job', '64');
DeleteFile('C:\Windows\Tasks\MN5C2AKtEuZ7jr3P.job', '64');
DeleteFile('C:\Windows\Tasks\w26Lg1Fb.job', '64');
DeleteFile('C:\Windows\Tasks\ZbujkFeaBKMlMgZL5CfQ8iTS.job', '64');
ExecuteFile('schtasks.exe', '/delete /TN "jPv2VvTV" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MN5C2AKtEuZ7jr3P" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "w26Lg1Fb" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ZbujkFeaBKMlMgZL5CfQ8iTS" /F', 0, 15000, true);
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsxF68.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj9354.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj2E6D.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrB745.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsfF305.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz6E64.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz36B4.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl6FFD.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsg2B1E.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj18C9.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsv4838.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsiF088.tmp', '32');
DeleteFile('C:\Users\Acer\AppData\Local\Temp\nsy8B3.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsa62A2.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsk2649.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsk913D.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsi64C.tmp', '32');
DeleteFile('C:\Users\Acer\AppData\Local\51D25470-1446218189-1320-0405-202021000000\qnsb1F41.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsi6363.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsc4C03.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knspBAE1.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knskF79B.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsh198.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz9661.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdF384.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssE1D6.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsvE9EF.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsiC1D3.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knst18AF.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsb62B8.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knscD3E6.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knskD2FA.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl69E5.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsw882C.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl855.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssC9E8.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsr9E27.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssFAC.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse5D38.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz615F.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsn2C5D.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsx26BC.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj16CA.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsmF2A7.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrD9DF.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdBCD2.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsn1322.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdF8CD.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knseB20D.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse5EB.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knstDE5.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse126A.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsf4555.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrAFA6.tmp', '32');
DeleteFile('C:\Program Files (x86)\gmsd_re_005010153\gmsd_re_005010153.exe', '32');
DeleteFile('C:\Program Files (x86)\gmsd_re_005010155\gmsd_re_005010155.exe', '32');
DeleteFile('C:\Program Files (x86)\gmsd_re_005010159\gmsd_re_005010159.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\Browsers\exe.resworb.bat', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\Browsers\exe.atemok.bat', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\jPv2VvTV.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\MN5C2AKtEuZ7jr3P.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\w26Lg1Fb.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\ZbujkFeaBKMlMgZL5CfQ8iTS.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Local\SystemDir\nethost.exe', '32');
DeleteFileMask('c:\program files (x86)\gmsd_re_005010153', '*', true);
DeleteFileMask('c:\program files (x86)\gmsd_re_005010155', '*', true);
DeleteFileMask('c:\program files (x86)\gmsd_re_005010159', '*', true);
DeleteFileMask('c:\users\acer\appdata\local\systemdir', '*', true);
DeleteDirectory('c:\program files (x86)\gmsd_re_005010153');
DeleteDirectory('c:\program files (x86)\gmsd_re_005010155');
DeleteDirectory('c:\program files (x86)\gmsd_re_005010159');
DeleteDirectory('c:\users\acer\appdata\local\systemdir');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_005010153');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_005010155');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_005010159');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tktbuivyff');
DeleteService('begujuqe');
DeleteService('bekumyxy');
DeleteService('bidusuty');
DeleteService('birygeme');
DeleteService('dikinoce');
DeleteService('dogimofy');
DeleteService('fehozuqy');
DeleteService('fifopysi');
DeleteService('foqoqege');
DeleteService('fymitipi');
DeleteService('fyreqoxi');
DeleteService('gegiwute');
DeleteService('ginoquci');
DeleteService('gojucysu');
DeleteService('hegozolu');
DeleteService('heleqyky');
DeleteService('hetefezi');
DeleteService('hidekoqe');
DeleteService('higumefe');
DeleteService('hucesuxo');
DeleteService('hyqugyjo');
DeleteService('kiwokyju');
DeleteService('kucypyvu');
DeleteService('ledivyko');
DeleteService('lekiviru');
DeleteService('lesuvizo');
DeleteService('lofuweki');
DeleteService('lokuzewe');
DeleteService('losozixo');
DeleteService('lumusute');
DeleteService('lytyvuwe');
DeleteService('nehesiru');
DeleteService('nibymowi');
DeleteService('nujenody');
DeleteService('nykivobu');
DeleteService('pedufoqo');
DeleteService('piqokezy');
DeleteService('pyhexiji');
DeleteService('pynifuwe');
DeleteService('qixycibo');
DeleteService('qyzemidi');
DeleteService('revitoqu');
DeleteService('sowimocu');
DeleteService('teguqesy');
DeleteService('tohebuhy');
DeleteService('tukymedo');
DeleteService('tylucywe');
DeleteService('wilowymi');
DeleteService('wojokuso');
DeleteService('zekijefe');
DeleteService('zijikige');
DeleteService('zipojune');
DeleteService('zizygyno');
DeleteService('zudyqije');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
Пользователь regist обновил ресурс Парсер логов AVZ новой записью:

Обновление парсера. Новый формат баз.

1. Изменена структура и формат баз для малвари и служб. Теперь базы хранятся в формате .xml. Это позволяет хранить кроме имени зловреда\службы рекомендацию по заражению, которая будет выводиться в парсере, дату добавления записи в базу и заметки.
2. С переходом на формат .xml переработан менеджер баз. Для добавления папок, регулярок и т.д. теперь не надо впереди дописывать префикс.
3. В секции с папками и регулярками отдельно для каждой записи можно настроить маску карантину\удаления файла,...
Узнать больше об этом обновлении...
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Если будут какие-то вопросы по функционалу - спрашивайте, по возможности ответим те моменты, которые не понятны вам.
 

Кирилл

Команда форума
Администратор
Сообщения
13,786
Реакции
6,151
Баллы
913
Выбрать несколько строк-оформит файл командами.
Планируете сделать так,что бы при этом каждая строка отдельно оформлялась?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
Я говорю что бы можно было не по одной строке,я несколько.
и чтобы потом случайно прихватили лишняю строку...
Уж лучше пусть по одной строке, тем более в правой части парсере не так много малвари остаётся. Основную часть он сам в скрипт помещает.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
Drongo, regist, работу вы конечно огромную провели...молодцы, так держать!!!
а справку почитать?
Подредактировать бы ее теперь не помешало в связи с последними изменениями.
В частности:
Screenshot_1.jpg
Да и базу CmdLineBase сразу бы запаковать, а то случайно в другой теме увидел ссылку на неё.
Если будут какие-то вопросы по функционалу - спрашивайте
Вопрос по регуляркам:
regexp#\\groover\d{8,}\\
regexp#\\swiftsearch_d{1,}
regexp#\\win_(?>en)_\d{2,}\\
-эти регулярки убрали совсем, почему...устарели или что?

regexp#\\mbot_r(?>e|u)_\d{2,}\\ - такая регулярка в моей базе(mbot я встречал в разных вариациях)
в новом парсере есть, но другая:\\mbot_ru_\d{2,}
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,323
Реакции
5,929
Баллы
998
Подредактировать бы ее теперь не помешало в связи с последними изменениями.
В частности:
Она уже подредактирована. Там же написано, что
Информация в этом блоке сильно устарела.
:)
А что писать новое я не знаю. Вроде и так всё понятно. Хочешь напиши свой вариант, как добавлять с новым менеджером баз - обновлю.
И это единственный блок, который остался с устаревшей информацией.
а то случайно в другой теме увидел
Не забывай, что твоя ссылка ведёт на закрытый раздел. И на этот вопрос отвечал тебе тут.
-эти регулярки убрали совсем, почему...устарели или что?
А они разве были? Не путай записи которые ты сам добавил и которые там были. Если, что по твоей ссылке на закрытый раздел тема наполнения базы парсера ;).
 
Сверху Снизу