Парсер логов gmer [версия drongo] 4.52 - 12.11.2016

[Drongo]

djshkiper, Исправил. Архив заменять не стал, просто прикрепил ещё один - скачать - ParseGmer_Splitter-rsLine.rar. Свойство разделителя(Splitter) сменил на rsLine. При изменении окон, границу будущего окна будет указывать чёрная линия.

P.S. Понимаю, это на любителя, но мне например нравится видеть изменения и текст одновременно. А может привык уже. )))

 

[djshkiper]

Если нажать Анализировать с пустым полем или с "не-отчетом", то ошибка обрабатывается. А если нажать сразу Вставить и Анализировать, то выдастся List index out of bounds (3)

 

[Drongo]

Если нажать Анализировать с пустым полем или с "не-отчетом", то ошибка обрабатывается. А если нажать сразу Вставить и Анализировать, то выдастся List index out of bounds (3)

Упс. Обработку делал. Видать не до конца. Спасибо за замеченый баг. Исправил.

P.S. Пока это не критичная ошибка, так как если в буфере обмена нет текста для вставки, тогда появляется такое сообщение. Основной архив я не обновлял.

 

[Drongo]

Обновились -

Добавлено детектирование случая с вирусом

Trojan-Downloader.Win32.Mutant.ciz

И вдаимодействие с пользователем посредством открытых списков.

LegalService.txt - Текстовый файл, в котором должны находиться имена легальных системных служб, на которые gmer может ругаться или по каким-либо причинам, считать их за руткиты. Для использования списка легальных служб, создайте файл с именем - LegalService.txt - и впишите в него имя\имена служб, которые по вашему мнению некорректно обрабатываются парсером, выводятся на удаление. Регистр имени службы значения не играет. Структура этого списка следующая: Одна строка - одно имя службы. Например:

TlntSvr
BITS
AliIde

MaskTDSS.txt - Текстовый файл, в котором должны находиться маски вирусов класса TDSS. Программа имеет свой внутренний список таких масок, но если по каким-либо причинам, была упущена или появится новый тип\название маски, создайте текстовый файл с именем - MaskTDSS.txt - и впишите в него первые постоянные символы, характеризующие маску TDSS. Регистр маски значения не играет. Структура этого списка следующая: Одна строка - одна маска. Например:

UAC
gaopdx
tdss

P.S. Если вам известны другие маски вируса класса TDSS, прошу их озвучить в этой же теме.
-------------------------------------------------------
Изначально в архиве не присутствуют файлы - MaskTDSS.txt и LegalService.txt или какой-либо один из них в зависимости от того что вы хотите добавить. Имя службы или маску вируса. Созданые списки должны находиться рядом с утилитой "ParseGmer.exe".

P.S. На всякий случай, если забудете, в архиве есть Readme.txt с описанием и названиями открытых списков. :victory:

 

[whop]

Сформировал батник, лог был чистый
содержимое батника:
6o93nyq6.exe -reboot

что бы это могло быть?

 

[iskander-k]

что бы это могло быть?

Скорее всего у вас отсутствует шрифт для правильного отображения. Только что проверил батник

lw79vp2j.exe -reboot

 

[Drongo]

whop, Скиньте лог или сюда или в личку.

 

[whop]

снимаю вопрос
в lister'e total commander v4.51 (вызывается клавишей F3) отображается 3 лишних символа перед названием файла гмера, скорее всего, в неправильной кодировке.
в lister'e total commander v6.03а отображается все правильно.
клавиша F4 - обычный блокнот windows - в обоих версиях тотал коммандера выдает правильную инфу (название файла гмера -reboot)

 

[Drongo]

С thyrex'ом вчера нашли несколько масок TDSS.

Создайте и\или добавьте в файл MaskTDSS.txt три маски, они пока что не присутствуют в теле программы. В ближайшее время их добавлю и обновлю архив с парсером.

quadra
dgm
tdl

По остальным маскам можно глянуть в тему - Удаление вируса руткита - Rootkit.Win32.TDSS

 

[icotonev]

Drongo, MaskTDSS.txt -не существует в архиве.Как добавить масок TDSS?

 

[Drongo]

icotonev, Создайте MaskTDSS.txt вручную, там же в Readme.txt всё написано.

 

[Drongo]

Обновились - Добавлены во внутренний список эти маски

quadra
dgm
tdl

на данный момент нет необходимости в открытом списке.

Добавлена коррекция системных переменных находящихся в секции REG (редкие случаи). Хотелось бы сказать, что кривизна определения не является ошибкой парсера, а эти значения сами по себе нестабильны и изначально могут иметь разный формат представления в самом логе... (Свойство антируткита gmer, что ли?)

Ну и сменили формат хранения файла, теперь файл можно скачать из файлового хранилища VirusNet.Info - все ссылки в шапке темы. :victory:

 

[OKshef]

Drongo, думаю, можно и нужно добавить к утилите обозначение версии, например, в форме даты ParseGmer-10.04.07, ну, или, как сам пожелаешь

 

[Drongo]

OKshef, Хотя на вкладке "О программе" имеется дата сборки, всё же думаю да, ты прав, так и сделаю, поставлю в заголовке окна ещё и дату, тем более что thyrex давно мне говорил, что проще и лучше так сделать. :good2:
Благо, заменять теперь архив удобно.

 

[Drongo]

Обновились.

поставлю в заголовке окна ещё и дату

Сделал.
Прошлая версия некорректно обрабатывала некоторые логи. (проблема с определением WinDir для секции Reg). Исправил.

Смотрите в результат, если будет некорректный путь, изменяйте на правильный и отписывайтесь здесь.

Все ссылки в шапке темы.

 

[Drongo]

Обновились. Обязательно обновление!!!

Драйвер касперского попадал в удаление. Случай обработан.

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSetInformationFile [0xA94E0CC0] <-- ROOTKIT !!!

Все ссылки в шапке темы.

 

[Drongo]

AVZ ругается на службу

USBSTOR

>>> Подозрение на маскировку ключа реестра службы\драйвера "USBSTOR"

Добавил во внутренний список исключений. Кто пользуется - обновитесь. Если обновляться влом, добавьте имя службу в открытый список - LegalService.txt

Архив обновлён - 18.06.2010

 

[None]

упс, тока заметил темку, интересная программка
не могу понять, только что-то до боли знакомое...

 

[Arbitr]

только что-то до боли знакомое...

может как Менделеев во сне видел?))

 

[thyrex]

Arbitr, прочти первый пост темы (раздел благодарностей)