Парсер логов AVZ

Парсер логов AVZ 3.04 [2020.01.01]

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,904
Баллы
1,008
akok, нет, хеши вписываешь слева. А справо выводит список дублей, то есть если такой хеш(и) уже были в базе или ты пытаешься добавить несколько одинаковых, то справо выведет какие повторяются.

А вообще использование этой базы неэффективно. Так как хеши постоянно меняются, чтобы сбить детекты антивирусов.
ИМХО, добавлять тут имеет смысл только хеши майнеров. У них хеши относительно постоянны (спустя какое-то время и у них меняется), а имена и пути под которыми их подсовывают в систему разные.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,904
Баллы
1,008
Пользователь regist обновил ресурс Парсер логов AVZ новой записью:

Новогоднее обновление парсера.

1) Добавлена возможность проверки синтаксиса скрипта через сторонние утилиты. По умолчанию отключено. Утилиту надо скачивать отдельно. Подробности читайте в справке.
2) Уменьшено кол-во ложных срабатываний.
3) Доработан костыль по удалению заданий.
4) Список игнорирования теперь работает и для секции планировщика задач.
5) Улучшено центрирование окон парсера, для случаев когда подключено два монитора.
6) Некоторые другие доработки и изменения.
Узнать больше об этом обновлении...
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,310
Реакции
13,328
Баллы
2,203
Вопрос. А может ли парсер сразу добавить шаблон скрипта? А то бывает проверяешь логи, парсер пишет, что все чисто, но скрипт таки нужно создать. Когда добавляешь команды, то приходится ручками добавлять базовые команды (от begin и end.) вручную.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
В папке Template создай шаблон какой тебе хочется, с любым набором команд и не зависимо от того чистый лог оказался или нет, ты можешь зайти через меню шаблоны ответов парсера, вызвать его и скопировать в ответ.
Так же можно создать разные шаблоны, например в зависимости от форума на котором отвечаешь, что бы нужные ссылки были в ответе или даже в зависимости от типа заражения, например для шифровальщика или ФВ.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 <<----->>

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Post automatically merged:

А у меня другой вопрос по шаблонам. В парсере версии 3.02 при вызове шаблона съедаются несколько первых символов шаблона, в отличии например от версии 2.75, которая у меня сохранилась.

Screenshot_1.jpg
Screenshot_2.jpg


Как видно на скрине слово "закройте" пропало.
 
Последнее редактирование:
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
19,310
Реакции
13,328
Баллы
2,203
В папке Template создай шаблон какой тебе хочется, с любым набором команд и не зависимо от того чистый лог оказался или нет, ты можешь зайти через меню шаблоны ответов парсера, вызвать его и скопировать в ответ.
То конечно да, но если включена проверка скрипта, то парсер не даст собрать ответ, а ее отключать не хочется.
1527502364750.png
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
но если включена проверка скрипта
О какой проверке ты пишешь?
Файл - Загрузить лог - Анализировать...это?
Если так, то ни каких проблем с шаблоном, даже если по логам всё чисто
Screenshot_1.jpg
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,904
Баллы
1,008
О какой проверке ты пишешь?
Читай справка -> "Как включить проверку синтаксиса (ошибок) скрипта?"
Вопрос. А может ли парсер сразу добавить шаблон скрипта? А то бывает проверяешь логи, парсер пишет, что все чисто, но скрипт таки нужно создать. Когда добавляешь команды, то приходится ручками добавлять базовые команды (от begin и end.) вручную.
Добавить не сложно.
А у меня другой вопрос по шаблонам. В парсере версии 3.02 при вызове шаблона съедаются несколько первых символов шаблона, в отличии например от версии 2.75, которая у меня сохранилась.
Если в родных шаблонах всё нормально, то значит что-то в твоём некорректно. Может какой спец. символ затесался или с кодировкой что-то. Нужен пример проблемного шаблона.
 
  • Like
Реакции: akok

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Читай справка -> "Как включить проверку синтаксиса (ошибок) скрипта?"
Понятно. Я этой проверкой не пользуюсь.
Нужен пример проблемного шаблона
Кинул тебе в личку.
Post automatically merged:

Нужен пример проблемного шаблона.
Спасибо за помощь. Теперь ни чего не проглатывается.
 
Последнее редактирование:

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,565
Баллы
808
А может ли парсер сразу добавить шаблон скрипта?
Да, добавить можно, регист предложил такой набор команд. Вставку сделаю наверное отдельной командой из контекстного меню по левому окну и из меню консультанта.
Код:
begin
ExecuteSysClean;
RebootWindows(true);
end.
Сразу тоже подумал через шаблон, но там да, проверка правильности скрипта может быть включена.
съедаются несколько первых символов шаблона
Я так понял регист тебе пояснил в чём был трабл. Я долго авторизоваться не мог, как бы редонли на форуме был, всё вижу, а учётка не активна. Сделаю дополнительное условие чтобы не было подобных инцидиентов.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Я так понял регист тебе пояснил в чём был трабл.
Привет! Оказывается в любом шаблоне должна присутствовать эта...не знаю как её назвать, команда наверное))), в общем вот она:$Script$
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,565
Баллы
808
@shestale, конечно, вместо этого "текста" поставляется скрипт из главного окна. Программе же надо дать понять куда именно вставить скрипт. Посмотрел бы по аналогии с другими шаблонами. )
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643

akok

Команда форума
Администратор
Сообщения
19,310
Реакции
13,328
Баллы
2,203
Да, добавить можно, регист предложил такой набор команд.
Может тогда стандартный? Если уж все ручками
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 
   BC_Activate;
  ExecuteSysClean;
 BC_ImportALL;
RebootWindows(true);
end.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643
Братцы, не вижу проблемы вообще)))
У меня в папке ParseAVZ\Template\ лежит 8 мной настроенных шаблонов для разных форумов. Одно время для Кибера даже два было. Выбираем нужный в выпадающем списке и вуаля.
 

akok

Команда форума
Администратор
Сообщения
19,310
Реакции
13,328
Баллы
2,203
У меня в папке ParseAVZ\Template\ лежит 8 мной настроенных шаблонов для разных форумов. Одно время для Кибера даже два было. Выбираем нужный в выпадающем списке и вуаля.
Выше об этом писал, так работает если отключить проверку скрипта, иначе даже окно формы ответов не открывается.
 

wumbo12

Активный пользователь
Сообщения
235
Реакции
44
Баллы
68
Или вариант, пожелание : добавить в шаблон по стандартному с перемещением карантина:

Код:
begin
ClearQuarantineEx(true);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;

  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
P.S Может быть это лучше?):Biggrin::Biggrin:
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
@shestale, конечно, вместо этого "текста" поставляется скрипт из главного окна. Программе же надо дать понять куда именно вставить скрипт. Посмотрел бы по аналогии с другими шаблонами. )
Саня, да я так и делал. Просто у меня потом появились шаблоны без скрипта, вроде шпаргалочек небольших..., я же старый склеротик)))
Вот и убрал эту хрень $Script$ вместе с скриптами, а оказывается что она все равно нужна...даже если только один текст в шаблоне без скрипта.
Напрасно, отличная вещь!
Сань, а чем лучше? В каких случаях требуется такая проверка... примеры пожалуйста? Может и включу тогда :Wink:
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643
даже окно формы ответов не открывается
В парсере Ctrl+r и вот уже есть строка для скрипта :)

Ты разве всегда-всегда уверен, что не допустил ошибку? Там, двинул мышкой и удалил точку с запятой и т.п. Я вот не уверен, потому и пользуюсь )))
К тому же это не занимает лишнего времени, один раз настроил и пусть себе проверяет.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,904
Баллы
1,008
regist обновил(а) ресурс Парсер логов AVZ новой записью:

Новогоднее обновление парсера.

Уже традиционное новогоднее обновление парсера.
Список изменений (часть изменений касается только логов созданных AVZ 5):
  • Для новых логов вставляется удаление заданий новым способом.
  • Доработана, точней переработана эвристика.
  • Для ключей MSConfig теперь удаляется не только параметр, а целиком ключ.
  • Для ключей SYSTEM\CurrentControlSet\Services\Eventlog\... теперь удаляется не только параметр, а целиком ключ.
  • Оптимизация кода (за счёт этого и размер .exe уменьшился)...
Узнать больше об этом обновлении...
 
Сверху Снизу