Парсер логов GMER [версия Drongo]

Парсер логов gmer [версия drongo] 4.52 - 12.11.2016

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
djshkiper, Исправил. :) Архив заменять не стал, просто прикрепил ещё один - скачать - ParseGmer_Splitter-rsLine.rar. Свойство разделителя(Splitter) сменил на rsLine. При изменении окон, границу будущего окна будет указывать чёрная линия.

P.S. Понимаю, это на любителя, но мне например нравится видеть изменения и текст одновременно. :) А может привык уже. )))
 

djshkiper

Активный пользователь
Сообщения
14
Реакции
16
Баллы
403
Если нажать Анализировать с пустым полем или с "не-отчетом", то ошибка обрабатывается. А если нажать сразу Вставить и Анализировать, то выдастся List index out of bounds (3)
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Если нажать Анализировать с пустым полем или с "не-отчетом", то ошибка обрабатывается. А если нажать сразу Вставить и Анализировать, то выдастся List index out of bounds (3)
Упс. Обработку делал. Видать не до конца. Спасибо за замеченый баг. Исправил. ParseGmer_Splitter-rsLine.rar

P.S. Пока это не критичная ошибка, так как если в буфере обмена нет текста для вставки, тогда появляется такое сообщение. Основной архив я не обновлял.
 
Последнее редактирование:

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Обновились - ParseGmer.rar

Добавлено детектирование случая с вирусом
Код:
Trojan-Downloader.Win32.Mutant.ciz
И вдаимодействие с пользователем посредством открытых списков.

LegalService.txt - Текстовый файл, в котором должны находиться имена легальных системных служб, на которые gmer может ругаться или по каким-либо причинам, считать их за руткиты. Для использования списка легальных служб, создайте файл с именем - LegalService.txt - и впишите в него имя\имена служб, которые по вашему мнению некорректно обрабатываются парсером, выводятся на удаление. Регистр имени службы значения не играет. Структура этого списка следующая: Одна строка - одно имя службы. Например:
Код:
TlntSvr
BITS
AliIde
MaskTDSS.txt - Текстовый файл, в котором должны находиться маски вирусов класса TDSS. Программа имеет свой внутренний список таких масок, но если по каким-либо причинам, была упущена или появится новый тип\название маски, создайте текстовый файл с именем - MaskTDSS.txt - и впишите в него первые постоянные символы, характеризующие маску TDSS. Регистр маски значения не играет. Структура этого списка следующая: Одна строка - одна маска. Например:
Код:
UAC
gaopdx
tdss
P.S. Если вам известны другие маски вируса класса TDSS, прошу их озвучить в этой же теме. :)
-------------------------------------------------------
Изначально в архиве не присутствуют файлы - MaskTDSS.txt и LegalService.txt или какой-либо один из них в зависимости от того что вы хотите добавить. Имя службы или маску вируса. Созданые списки должны находиться рядом с утилитой "ParseGmer.exe".

P.S. На всякий случай, если забудете, в архиве есть Readme.txt с описанием и названиями открытых списков. :victory:
 
Последнее редактирование:

whop

Разработчик
Сообщения
176
Реакции
111
Баллы
433
Сформировал батник, лог был чистый
содержимое батника:
6o93nyq6.exe -reboot

что бы это могло быть?
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
whop, Скиньте лог или сюда или в личку.
 

whop

Разработчик
Сообщения
176
Реакции
111
Баллы
433
снимаю вопрос
в lister'e total commander v4.51 (вызывается клавишей F3) отображается 3 лишних символа перед названием файла гмера, скорее всего, в неправильной кодировке.
в lister'e total commander v6.03а отображается все правильно.
клавиша F4 - обычный блокнот windows - в обоих версиях тотал коммандера выдает правильную инфу (название файла гмера -reboot)
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
С thyrex'ом вчера нашли несколько масок TDSS.

Создайте и\или добавьте в файл MaskTDSS.txt три маски, они пока что не присутствуют в теле программы. В ближайшее время их добавлю и обновлю архив с парсером.
Код:
quadra
dgm
tdl
По остальным маскам можно глянуть в тему - Удаление вируса руткита - Rootkit.Win32.TDSS
 

icotonev

Ассоциация VN
Сообщения
1,424
Реакции
1,168
Баллы
553
Drongo, MaskTDSS.txt -не существует в архиве.Как добавить масок TDSS?
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
icotonev, Создайте MaskTDSS.txt вручную, там же в Readme.txt всё написано. :)
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Обновились - Добавлены во внутренний список эти маски
Код:
quadra
dgm
tdl
на данный момент нет необходимости в открытом списке.

Добавлена коррекция системных переменных находящихся в секции REG (редкие случаи). Хотелось бы сказать, что кривизна определения не является ошибкой парсера, а эти значения сами по себе нестабильны и изначально могут иметь разный формат представления в самом логе... (Свойство антируткита gmer, что ли?)

Ну и сменили формат хранения файла, теперь файл можно скачать из файлового хранилища VirusNet.Info - все ссылки в шапке темы. :victory:
 

OKshef

Активный пользователь
Сообщения
337
Реакции
545
Баллы
483
Drongo, думаю, можно и нужно добавить к утилите обозначение версии, например, в форме даты ParseGmer-10.04.07, ну, или, как сам пожелаешь
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
OKshef, Хотя на вкладке "О программе" имеется дата сборки, всё же думаю да, ты прав, так и сделаю, поставлю в заголовке окна ещё и дату, тем более что thyrex давно мне говорил, что проще и лучше так сделать. :good2:
Благо, заменять теперь архив удобно. :)
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Обновились.
поставлю в заголовке окна ещё и дату
Сделал.
Прошлая версия некорректно обрабатывала некоторые логи. (проблема с определением WinDir для секции Reg). Исправил.

Смотрите в результат, если будет некорректный путь, изменяйте на правильный и отписывайтесь здесь.

Все ссылки в шапке темы.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Обновились. Обязательно обновление!!!

Драйвер касперского попадал в удаление. Случай обработан.
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSetInformationFile [0xA94E0CC0] <-- ROOTKIT !!!
Все ссылки в шапке темы.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
AVZ ругается на службу
Код:
USBSTOR
Код:
>>> Подозрение на маскировку ключа реестра службы\драйвера "USBSTOR"
Добавил во внутренний список исключений. Кто пользуется - обновитесь. Если обновляться влом, добавьте имя службу в открытый список - LegalService.txt

Архив обновлён - 18.06.2010
 

None

Активный пользователь
Сообщения
1
Реакции
0
Баллы
391
упс, тока заметил темку, интересная программка
не могу понять, только что-то до боли знакомое...
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Arbitr, прочти первый пост темы (раздел благодарностей) :)
 
Сверху Снизу