Сортировка команд в скрипте AVZ по рекомендуемому шаблону

Сортировка команд в скрипте AVZ по рекомендуемому шаблону 2018-10-04

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,199
Реакции
6,372
в шаблоне пропущена одна строчка, между командами
RegKeyIntParamWrite
RegKeyParamWrite
надо добавить
Код:
 RegKeyStrParamWrite(' ',' ',' ',' ');
, а то после обработки правильно написанного скрипта эта команда исчезнет оттуда.

Добавлено через 34 минуты 56 секунд
+ пропущена команда
Код:
 RegKeyResetSecurity(' ',' ');
p.s. специально не проверял, так что возможно нехватает и других команд.
 

edde

Ассоциация VN/VIP
VIP
Сообщения
1,816
Реакции
1,252
В шаблоне ничего не пропущено, в шаблоне даны основные наиболее часто используемые команды которые вам потребуются при прохождении курса.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,199
Реакции
6,372
В шаблоне ничего не пропущено, в шаблоне даны основные наиболее часто используемые команды которые вам потребуются при прохождении курса.

RegKeyStrParamWrite(' ',' ',' ',' ');
Нужна для написания ответов к логам.

Добавлено через 22 минуты 52 секунды
з.ы. имхо при составление этой темы были включены тоже только самые необходимые команды, я всего лишь предлагаю использовать за основу шаблон оттуда.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,199
Реакции
6,372
edde, вы видно меня не поняли, там я эти команды вижу! но их нету в шаблоне который скачивается из шапки :).
 

edde

Ассоциация VN/VIP
VIP
Сообщения
1,816
Реакции
1,252
Начните с ручной сортировки, оно и полезней и всё по порядку будет:)
 

Arbitr

Ассоциация VN
VIP
Сообщения
3,600
Реакции
1,634
вы видно меня не поняли, там я эти команды вижу! но их нету в шаблоне который скачивается из шапки
я тоже вас не понимаю... чего вы хотите? чтоб для вас добавили все команды которые можно использовать в AVZ в шаблон?????
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Не спорьте горячие финские парни.

Придёт разработчик и добавит если это необходимо, а пока по старинке.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,199
Реакции
6,372
решил вместо beve, написать тут, так как боюсь, что многие иначе не заметят
Последний раз редактировалось beve; 15.02.2011 в 23:53. Причина: Обновлен шаблон (согласно рекомендациям сдесь на форуме).

Добавлено через 10 минут 17 секунд
з.ы. исправленный вариант качается отсюда
Вложения
7z.gif
Po_shablonu_(AVZ).7z (283.5 Кб, 1 просмотров)
из файлового хранилища VN скачивается старая версия.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Обновил и в файлом хранилище.
 

fidget

Активный пользователь
Сообщения
231
Реакции
14
Начните с ручной сортировки, оно и полезней и всё по порядку будет:)

Ага, а я то доверял программе, чуть пользователю userinit не снёс,
вставил:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\niwhaw.exe','');
 QuarantineFile('C:\WINDOWS\system32\5a0bdd5a.exe','');
 QuarantineFile('C:\WINDOWS\system32\XDva382.sys','');
 QuarantineFile('C:\WINDOWS\system32\nelsqwn.dll','');
 DeleteFile('C:\WINDOWS\system32\nelsqwn.dll');
 DeleteFile('C:\WINDOWS\system32\XDva382.sys');
 DeleteFile('C:\WINDOWS\system32\5a0bdd5a.exe');
 DeleteFile('C:\WINDOWS\system32\niwhaw.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
 DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DeleteService('XDva382');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
а на выходе получил:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\niwhaw.exe','');
 QuarantineFile('C:\WINDOWS\system32\5a0bdd5a.exe','');
 QuarantineFile('C:\WINDOWS\system32\XDva382.sys','');
 QuarantineFile('C:\WINDOWS\system32\nelsqwn.dll','');
 DeleteFile('C:\WINDOWS\system32\nelsqwn.dll');
 DeleteFile('C:\WINDOWS\system32\XDva382.sys');
 DeleteFile('C:\WINDOWS\system32\5a0bdd5a.exe');
 DeleteFile('C:\WINDOWS\system32\niwhaw.exe');
 DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DeleteService('XDva382');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Смотрю чего то не хватает))
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,199
Реакции
6,372
что то пока не уловил каким образом ты мог снести... ничего криминального не вижу
это связано с
в шаблоне пропущена одна строчка, между командами
...
RegKeyStrParamWrite(' ',' ',' ',' ');

fidget, видно удалил какой-то файл который был прописан в ключе userinit, по идее в результате эвристической чистки AVZ должен удалить этот ключ (в реале он знает о его значение и не удалит, а исправит на правильную даже если эту строчку не добавить), следовательно чтоб не нагнуть систему надо прописать вместо удалённого ключа новое значение.
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
после обработки сортировщиком команд старой версии это команда исчезала из скрипта. вот что подразумевал fidget :).
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,903
Реакции
2,599
по идее в результате эвристической чистки AVZ должен удалить этот ключ
Глупость несусветная. AVZ вычищает userinit от удаляемых хвостов вполне нормально

Потому
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
нужна (?) для старых версий AVZ и, возможно, для AVP Tool и KIS
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,199
Реакции
6,372
Глупость несусветная. AVZ вычищает userinit от удаляемых хвостов вполне нормально
thyrex, я это написал.
в реале он знает о его значение и не удалит, а исправит на правильную даже если эту строчку не добавить)
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,295
Реакции
4,773
Разработчики облегчают нам анализ логов и подготовку скриптов, но голову за нас они включать не будут, это удел каждого хелпера в отдельности. Доверяй утилитам, но проверяй, что копипастишь.
 

yanixoid

Активный пользователь
Сообщения
92
Реакции
4
весьма и весьма полезная софтинка, единственное НО - добавляет по умолчанию строку ClearQuarantine; что не всегда нужно, ну как сказал(а) Sfera, доверяй но проверяй.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Обновил ссылку.
 

S.R

Ассоциация VN
Сообщения
727
Реакции
376
beve, программа некорректно обрабатывает скрипт при следующем сценарии:
Имеется изначально скрипт
Код:
begin
 QuarantineFile('C:\1.dll','');
end.

В файле Shablon.txt имеются следующие изменения:
в секции [Functions] добавлена ф-ция AddLineToTxtFile после RegKeyParamWrite

в секции [AddFunctions] добавлены ф-ции
Код:
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');

После обработки получаем сообщение "Функцию CreateQurantineArchive() нужно запускать отдельным скриптом" и код
Код:
begin
 QuarantineFile('C:\1.dll','');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');
end.
 
Сверху Снизу