Парсер логов AVZ

Обсуждение парсера логов AVZ 3.1.0

Уверен. Их AdWare.Win32.Tirrip прописывает.
Я не о конкретно этих прокси, а о настройках в принципе, если принимать решение по прокси, то парсер тогда учить нужно, а как я выше предложил.
 
Drongo, если надумаешь, то вот нашел у себя, правда уже давно не обновлял, список троянских портов
 

Вложения

  • список троянских портов.txt
    7.2 KB · Просмотры: 7
shestale, смысла в отдельной базе троянских портов используемых для прокси, а тем более Pirrit нет. Он устанавливает локальный прокси сервер (анологичный тому, какой ставит и сам юзер если хочет поднять у себя прокси) и рандомно прописывает там прокси. Тот же порт может быть прописан и юзером. При этом если при активном пиррите удалить в реестре запись о прокси из реестра, то при следующей перезагрузки он заново пропишет его с новым рандомным портом. В закрытом разделе я кажись выкладывал скрины процесмона при работающем пиррите.
 
чень даже стандартный, как для прокси-серверов, так и для других программ
Да, конечно. Там(в той статье из которой я и скопировал этот список) скорее имелось ввиду, что трояны могут проникать и через эти порты, в том числе, поэтому они попали в список.
 
Последнее редактирование:
Пример в аттаче. Даже на мой неискушённый взгляд видно, что там тонна файлов с непроизносимым именем, типа 1dce79ea-379a-487b-84c8-487f5cb6ebf7-1-6.exe и задач 1dce79ea-379a-487b-84c8-487f5cb6ebf7-1-6.job Шаблон из коробки предлагает существенно меньше:
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\Эльчин\appdata\roaming\6a1c9b11-1434633972-e011-9e16-1c75087bca58\knsv750c.tmp');
TerminateProcessByName('c:\users\d61d~1\appdata\local\temp\nsbae47.tmp');
TerminateProcessByName('c:\users\d61d~1\appdata\local\temp\nshd146.tmp');
StopService('demigenu');
StopService('demigenu');
QuarantineFile('c:\users\Эльчин\appdata\roaming\6a1c9b11-1434633972-e011-9e16-1c75087bca58\knsv750c.tmp', '');
QuarantineFile('c:\users\d61d~1\appdata\local\temp\nsbae47.tmp', '');
QuarantineFile('c:\users\d61d~1\appdata\local\temp\nshd146.tmp', '');
QuarantineFile('C:\Users\Эльчин\AppData\Local\Temp\nsuE35F.tmp\blowfish.dll', '');
DeleteFile('c:\users\Эльчин\appdata\roaming\6a1c9b11-1434633972-e011-9e16-1c75087bca58\knsv750c.tmp', '32');
DeleteFile('c:\users\d61d~1\appdata\local\temp\nsbae47.tmp', '32');
DeleteFile('c:\users\d61d~1\appdata\local\temp\nshd146.tmp', '32');
DeleteFile('C:\Users\Эльчин\AppData\Local\Temp\nsuE35F.tmp\blowfish.dll', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zswkdueqcv','command');
DeleteService('demigenu');
ExecuteSysClean;
BC_DeleteSvc('demigenu');
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Соответственно, вопрос: это недоработка парсера, либо нужно составлять шаблоны самому, что бы подобное показывалось в парсере?
 

Вложения

  • KL_syscure(1).zip
    249.1 KB · Просмотры: 5
BORODA(C),
1) Парсер это не идеальный инструмент который даёт готовый скрипт лечения. Это просто помощник хелпера. Скрипт составленный парсером должен пересматриваться хелпером при необходимости должны удаляться оттуда строки с удалением легала и дополняться пропущенными строками.
2) То что имя непроизносимое это видно на человеческий взгляд. А как объяснить это программе? Тем более, что имя имеет рандомное название? Так что в некоторых случаях парсер возможно создаст полноценный скрипт который можно выполнять без поправок, а в некоторых придётся дополнять самому.
3) По конкретному логу и файлам приведёнными вами, можно добавить в базу малвари например маски
Код:
\savepass
\CinemaPlus
\HD-V1.9
результат сразу улучшится. Как добавлять маски есть в справке.
 
Моя ошибка в том, что я считал, что парсер фильтрует по белому списку, а остальное хелпер чистит руками. Сейчас осознал, что на потоке это не выполнимо - слишком времязатратно. Спасибо за пояснения!
 
BORODA(C), к своему предыдущему посту добавлю, что последние версии парсера позволяют добавлять маски с регулярными выражениями. За счёт этого если правильно продумать выражение можно добавлять и файлы/папки с некоторыми рандомными названиями.
 
Пользователь regist обновил ресурс Парсер логов AVZ новой записью:

Новогодняя версия

Немного улучшений.

1. Горячие клавиши, при нажатии CTRL + SHIFT + HotKey в команду вставится путь из буфера. Также, улучшена команда Ctrl + F для быстрого оформления команды, теперь также, добавляется удаление ключа/параметра. Подробнее в справке.
2. Пользовательская (настраиваемая) маска для карантина (Recommendation.ini)
3. Ввиду того, что AVZ при удаление заданий не чистит реестр, то удаление заданий планировщика командами AVZ заменено на удаление через schtasks.exe.
4....

Узнать больше об этом обновлении...
 
Предлагаю проверить удобство использования парсера на этом логе. Для ленивых скрипт под спойлером.
PS. Под лог ничего не затачивалось, скрипт вручную не редактировался.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('ginoquci');
QuarantineFileF('c:\program files (x86)\gmsd_re_005010153', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\gmsd_re_005010155', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\gmsd_re_005010159', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\acer\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsxF68.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj9354.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj2E6D.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrB745.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsfF305.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz6E64.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz36B4.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl6FFD.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsg2B1E.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj18C9.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsv4838.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsiF088.tmp', '');
QuarantineFile('C:\Users\Acer\AppData\Local\Temp\nsy8B3.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsa62A2.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsk2649.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsk913D.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsi64C.tmp', '');
QuarantineFile('C:\Users\Acer\AppData\Local\51D25470-1446218189-1320-0405-202021000000\qnsb1F41.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsi6363.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsc4C03.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knspBAE1.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knskF79B.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsh198.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz9661.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdF384.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssE1D6.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsvE9EF.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsiC1D3.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knst18AF.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsb62B8.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knscD3E6.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knskD2FA.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl69E5.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsw882C.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl855.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssC9E8.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsr9E27.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssFAC.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse5D38.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz615F.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsn2C5D.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsx26BC.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj16CA.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsmF2A7.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrD9DF.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdBCD2.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsn1322.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdF8CD.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knseB20D.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse5EB.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knstDE5.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse126A.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsf4555.tmp', '');
QuarantineFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrAFA6.tmp', '');
QuarantineFile('C:\Program Files (x86)\gmsd_re_005010153\gmsd_re_005010153.exe', '');
QuarantineFile('C:\Program Files (x86)\gmsd_re_005010155\gmsd_re_005010155.exe', '');
QuarantineFile('C:\Program Files (x86)\gmsd_re_005010159\gmsd_re_005010159.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\Browsers\exe.resworb.bat', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\Browsers\exe.atemok.bat', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\jPv2VvTV.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\MN5C2AKtEuZ7jr3P.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\w26Lg1Fb.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Roaming\ZbujkFeaBKMlMgZL5CfQ8iTS.exe', '');
QuarantineFile('C:\Users\Acer\AppData\Local\SystemDir\nethost.exe', '');
DeleteFile('C:\Windows\Tasks\jPv2VvTV.job', '64');
DeleteFile('C:\Windows\Tasks\MN5C2AKtEuZ7jr3P.job', '64');
DeleteFile('C:\Windows\Tasks\w26Lg1Fb.job', '64');
DeleteFile('C:\Windows\Tasks\ZbujkFeaBKMlMgZL5CfQ8iTS.job', '64');
ExecuteFile('schtasks.exe', '/delete /TN "jPv2VvTV" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MN5C2AKtEuZ7jr3P" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "w26Lg1Fb" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ZbujkFeaBKMlMgZL5CfQ8iTS" /F', 0, 15000, true);
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsxF68.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj9354.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj2E6D.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrB745.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsfF305.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz6E64.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz36B4.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl6FFD.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsg2B1E.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj18C9.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsv4838.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsiF088.tmp', '32');
DeleteFile('C:\Users\Acer\AppData\Local\Temp\nsy8B3.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsa62A2.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsk2649.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsk913D.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsi64C.tmp', '32');
DeleteFile('C:\Users\Acer\AppData\Local\51D25470-1446218189-1320-0405-202021000000\qnsb1F41.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsi6363.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsc4C03.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knspBAE1.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knskF79B.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsh198.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz9661.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdF384.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssE1D6.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsvE9EF.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsiC1D3.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knst18AF.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsb62B8.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knscD3E6.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knskD2FA.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl69E5.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsw882C.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsl855.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssC9E8.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsr9E27.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knssFAC.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse5D38.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsz615F.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsn2C5D.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsx26BC.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsj16CA.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsmF2A7.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrD9DF.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdBCD2.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsn1322.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsdF8CD.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knseB20D.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse5EB.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knstDE5.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knse126A.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsf4555.tmp', '32');
DeleteFile('C:\Program Files (x86)\51D25470-1438263551-1320-0405-202021000000\knsrAFA6.tmp', '32');
DeleteFile('C:\Program Files (x86)\gmsd_re_005010153\gmsd_re_005010153.exe', '32');
DeleteFile('C:\Program Files (x86)\gmsd_re_005010155\gmsd_re_005010155.exe', '32');
DeleteFile('C:\Program Files (x86)\gmsd_re_005010159\gmsd_re_005010159.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\Browsers\exe.resworb.bat', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\Browsers\exe.atemok.bat', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\jPv2VvTV.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\MN5C2AKtEuZ7jr3P.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\w26Lg1Fb.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Roaming\ZbujkFeaBKMlMgZL5CfQ8iTS.exe', '32');
DeleteFile('C:\Users\Acer\AppData\Local\SystemDir\nethost.exe', '32');
DeleteFileMask('c:\program files (x86)\gmsd_re_005010153', '*', true);
DeleteFileMask('c:\program files (x86)\gmsd_re_005010155', '*', true);
DeleteFileMask('c:\program files (x86)\gmsd_re_005010159', '*', true);
DeleteFileMask('c:\users\acer\appdata\local\systemdir', '*', true);
DeleteDirectory('c:\program files (x86)\gmsd_re_005010153');
DeleteDirectory('c:\program files (x86)\gmsd_re_005010155');
DeleteDirectory('c:\program files (x86)\gmsd_re_005010159');
DeleteDirectory('c:\users\acer\appdata\local\systemdir');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_005010153');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_005010155');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_005010159');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tktbuivyff');
DeleteService('begujuqe');
DeleteService('bekumyxy');
DeleteService('bidusuty');
DeleteService('birygeme');
DeleteService('dikinoce');
DeleteService('dogimofy');
DeleteService('fehozuqy');
DeleteService('fifopysi');
DeleteService('foqoqege');
DeleteService('fymitipi');
DeleteService('fyreqoxi');
DeleteService('gegiwute');
DeleteService('ginoquci');
DeleteService('gojucysu');
DeleteService('hegozolu');
DeleteService('heleqyky');
DeleteService('hetefezi');
DeleteService('hidekoqe');
DeleteService('higumefe');
DeleteService('hucesuxo');
DeleteService('hyqugyjo');
DeleteService('kiwokyju');
DeleteService('kucypyvu');
DeleteService('ledivyko');
DeleteService('lekiviru');
DeleteService('lesuvizo');
DeleteService('lofuweki');
DeleteService('lokuzewe');
DeleteService('losozixo');
DeleteService('lumusute');
DeleteService('lytyvuwe');
DeleteService('nehesiru');
DeleteService('nibymowi');
DeleteService('nujenody');
DeleteService('nykivobu');
DeleteService('pedufoqo');
DeleteService('piqokezy');
DeleteService('pyhexiji');
DeleteService('pynifuwe');
DeleteService('qixycibo');
DeleteService('qyzemidi');
DeleteService('revitoqu');
DeleteService('sowimocu');
DeleteService('teguqesy');
DeleteService('tohebuhy');
DeleteService('tukymedo');
DeleteService('tylucywe');
DeleteService('wilowymi');
DeleteService('wojokuso');
DeleteService('zekijefe');
DeleteService('zijikige');
DeleteService('zipojune');
DeleteService('zizygyno');
DeleteService('zudyqije');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

Вложения

  • virusinfo_syscheck.zip
    487.9 KB · Просмотры: 4
Пользователь regist обновил ресурс Парсер логов AVZ новой записью:

Обновление парсера. Новый формат баз.

1. Изменена структура и формат баз для малвари и служб. Теперь базы хранятся в формате .xml. Это позволяет хранить кроме имени зловреда\службы рекомендацию по заражению, которая будет выводиться в парсере, дату добавления записи в базу и заметки.
2. С переходом на формат .xml переработан менеджер баз. Для добавления папок, регулярок и т.д. теперь не надо впереди дописывать префикс.
3. В секции с папками и регулярками отдельно для каждой записи можно настроить маску карантину\удаления файла,...

Узнать больше об этом обновлении...
 
Выбрать несколько строк-оформит файл командами.
Планируете сделать так,что бы при этом каждая строка отдельно оформлялась?
 
Я говорю что бы можно было не по одной строке,я несколько.
и чтобы потом случайно прихватили лишняю строку...
Уж лучше пусть по одной строке, тем более в правой части парсере не так много малвари остаётся. Основную часть он сам в скрипт помещает.
 
Drongo, regist, работу вы конечно огромную провели...молодцы, так держать!!!
а справку почитать?
Подредактировать бы ее теперь не помешало в связи с последними изменениями.
В частности:
Screenshot_1.jpg
Да и базу CmdLineBase сразу бы запаковать, а то случайно в другой теме увидел ссылку на неё.
Если будут какие-то вопросы по функционалу - спрашивайте
Вопрос по регуляркам:
regexp#\\groover\d{8,}\\
regexp#\\swiftsearch_d{1,}
regexp#\\win_(?>en)_\d{2,}\\
-эти регулярки убрали совсем, почему...устарели или что?

regexp#\\mbot_r(?>e|u)_\d{2,}\\ - такая регулярка в моей базе(mbot я встречал в разных вариациях)
в новом парсере есть, но другая:\\mbot_ru_\d{2,}
 
Последнее редактирование:
Подредактировать бы ее теперь не помешало в связи с последними изменениями.
В частности:
Она уже подредактирована. Там же написано, что
Информация в этом блоке сильно устарела.
:)
А что писать новое я не знаю. Вроде и так всё понятно. Хочешь напиши свой вариант, как добавлять с новым менеджером баз - обновлю.
И это единственный блок, который остался с устаревшей информацией.
а то случайно в другой теме увидел
Не забывай, что твоя ссылка ведёт на закрытый раздел. И на этот вопрос отвечал тебе тут.
-эти регулярки убрали совсем, почему...устарели или что?
А они разве были? Не путай записи которые ты сам добавил и которые там были. Если, что по твоей ссылке на закрытый раздел тема наполнения базы парсера ;).
 
Назад
Сверху Снизу