Парсер логов GMER [версия Drongo]

Парсер логов gmer [версия drongo] 4.52 - 12.11.2016

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,735
Реакции
2,536
Баллы
593
Сань вообще нет упоминаний о clb.dll
В коллекции логов gmer, которую я тебе как-то засылал, есть образец с clbdriver
В нем должно быть упоминание этого файла
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Программа обновилась. Переписана логика работы по определению заражений. По существу внешне всё осталось как и было за исключением того что теперь убрана галочка "Показать ROOTKIT", вместо неё вверху видно дополнительное второе окно, в котором будут выводиться все подозрительные строки в логе. Возможно некоторые не попадут в скрипт, но консультант на них сможет акцентировать внимание самостоятельно.

Также добавлен ряд детектов:
1. KIDO
2. TDSS
3. Virut (модификации u, av, q, ce)
4. Kates
5. ZAccess
6. Necurs
7. Bootkit
8. Вывод информации об неопределённом активном рутките, который есть, но информации для его детекта не достаточно.

В остальных случаях при наличии в логах вредоносных записей, парсер просто перерабатывает лог и составляет скрипт независимо оттого что в нём.

Внутри архива также есть файл ParserGmer.chm, если вам нужно будет дать готовую рекомендацию на форум по определённому типу заражения, все необходимые готовые шаблоны ответов вы найдёте там.

P.S. Не могу залить файл в файловое хранилище форума.
 
Последнее редактирование:

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Немножко обновили парсер.

1. Добавлен ещё один вариант детекта ZAccess
2. Убраны ложные удаления служб на логах снятых с виртуальных машин. (в большинстве случаев успешно игнорирует, в случае ложного срабатывания, лог в студию и можете самостоятельно добавить службу в исключения).
3. Немного мелких незначительных штрихов.
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
927
Баллы
453
Попался интересный лог GMER, где некорректно отображается служба. После некоторых поисков удалось понять от чего эта служба.

Service ??????????????????????????" (*** hidden *** ) [AUTO] <-- ROOTKIT !!!
(из лога GMER)

До конвертации
楗敳潂瑯獁楳瑳湡t¦"
(из лога TDSSKiller)

- после конвертации
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,960
Баллы
998
mike 1, извиняюсь, а к парсеру это какое отношение имеет?
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
927
Баллы
453
Ну может можно как-то сделать так чтобы отображалась верно кодировка в Парсере логов.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,960
Баллы
998
1) Кодировку нельзя восстановить по этому логу Gmer, а так у Gmer похожий косяк и с русскими буквами.
2) Тут проблема даже не в Gmer, а в разработчике той программы, так как это его косяк, что в реестр пишется в такой кривой кодировке.
3) Если бы даже Drongo, взялся писать универсальный декодер, то добавление такого функционала увеличило бы время обработки логов Gmer. А это разовый случай и можно воспользоваться сторонными онлайн или офлайн сервисами.
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
927
Баллы
453
В примере этого лога парсер сносит похоже легальную службу.

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service zaomvqf
gmer.exe -del file "C:\WINDOWS\system32\zheqogap.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ASP.NET_2.0.50727"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zaomvqf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ASP.NET_2.0.50727"
gmer.exe -reboot
 

Вложения

Arbitr

Ассоциация VN
VIP
Сообщения
3,619
Реакции
1,656
Баллы
593
майк вы до сих пор не можете отличить 100% легитим от не легитима?

сносит похоже легальную службу.
далее мы видим по скрипту удаление ключей реестра в которых записано имя службы
что произойдет если зловред сам оставить а удалить лишь запись в реестре о нем
чем отличаются CurrentControl и CurrentControlSet, когда создаются ветки типа ControlSet001 002 и т.д и что в них записывается?
и наконец а для чего вы? если бы сканеры парсеры и прочие утилиты АВ могли сами все правильно проанализировать и удалить то хелперы и не нужны
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
927
Баллы
453
и наконец а для чего вы? если бы сканеры парсеры и прочие утилиты АВ могли сами все правильно проанализировать и удалить то хелперы и не нужны
Хотя бы для того чтобы проверять корректность выводимого результата. :)
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Подтверждаю, версия, которой вы проверили этот лог - старая.
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
927
Баллы
453
Подтверждаю, версия, которой вы проверили этот лог - старая.
Где можно скачать новую? Версия в которой я проверял 4.50. Еще будет небольшое пожелание можно сделать так чтобы утилита самостоятельно по версии ОС определяла сервер это или нет и раз сервер автоматом убирала команду перезагрузки.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,960
Баллы
998
Где можно скачать новую?
глаза в шапку подыми.
Версия в которой я проверял 4.50
Видно когда с ресурсом склеивали остался номер от старой, хотя даже скрин с номером новой версии стоит :). Поправлю номер.
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
927
Баллы
453
глаза в шапку подыми.
Перекачал архив с парсером теперь он не предложил удалить библиотеку и службу от Kido. Старая версия почему-то увидела.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,960
Баллы
998
Парсер полностью переписан, чуть ли не с нуля + добавлено определения типа заражения.
Так что со старым сравнивать его не совсем правильно. Эвристика разумеется тоже улучшена.
Старая версия почему-то увидела.
потому что для начала надо разобраться с буткитом который вероятно там есть, а потом уже лечить кидо. При активном бутките нет смысле лечить кидо (да и тдсскиллер скорее всего и кидо пролечит).
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
927
Баллы
453
Парсер полностью переписан, чуть ли не с нуля + добавлено определения типа заражения.
Так что со старым сравнивать его не совсем правильно. Эвристика разумеется тоже улучшена.
потому что для начала надо разобраться с буткитом который вероятно там есть, а потом уже лечить кидо.
С буткитом я решил позднее разобраться.

да и тдсскиллер скорее всего и кидо пролечит
Сомневаюсь.
 
Последнее редактирование:

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,590
Баллы
808
Пользователь Drongo обновил ресурс Парсер логов GMER [версия Drongo] новой записью:

Обновление

Небольшое обновление, в большей степени заточка для англоязычных пользователей(если таковые есть или будут), парсер имеет две локализации: русская и английская. Нужную можно выбрать в раскрывающемся списке или запустить ярлык с ключом, регистр роли не играет:
  • ru или rus
  • en или eng
Также в архиве есть справочних по шаблонам для быстрого ответа, как английский, так и русский.
И добавлено несколько детектов:
  • Agent.BTZ (Turla, Uroburos)...
Узнать больше об этом обновлении...
 
Сверху Снизу