Сортировка команд в скрипте AVZ по рекомендуемому шаблону

Сортировка команд в скрипте AVZ по рекомендуемому шаблону 2018-10-04

в шаблоне пропущена одна строчка, между командами
RegKeyIntParamWrite
RegKeyParamWrite
надо добавить
Код:
 RegKeyStrParamWrite(' ',' ',' ',' ');
, а то после обработки правильно написанного скрипта эта команда исчезнет оттуда.

Добавлено через 34 минуты 56 секунд
+ пропущена команда
Код:
 RegKeyResetSecurity(' ',' ');
p.s. специально не проверял, так что возможно нехватает и других команд.
 
В шаблоне ничего не пропущено, в шаблоне даны основные наиболее часто используемые команды которые вам потребуются при прохождении курса.
 
В шаблоне ничего не пропущено, в шаблоне даны основные наиболее часто используемые команды которые вам потребуются при прохождении курса.

RegKeyStrParamWrite(' ',' ',' ',' ');
Нужна для написания ответов к логам.

Добавлено через 22 минуты 52 секунды
з.ы. имхо при составление этой темы были включены тоже только самые необходимые команды, я всего лишь предлагаю использовать за основу шаблон оттуда.
 
edde, вы видно меня не поняли, там я эти команды вижу! но их нету в шаблоне который скачивается из шапки :).
 
вы видно меня не поняли, там я эти команды вижу! но их нету в шаблоне который скачивается из шапки
я тоже вас не понимаю... чего вы хотите? чтоб для вас добавили все команды которые можно использовать в AVZ в шаблон?????
 
Не спорьте горячие финские парни.

Придёт разработчик и добавит если это необходимо, а пока по старинке.
 
решил вместо beve, написать тут, так как боюсь, что многие иначе не заметят
Последний раз редактировалось beve; 15.02.2011 в 23:53. Причина: Обновлен шаблон (согласно рекомендациям сдесь на форуме).

Добавлено через 10 минут 17 секунд
з.ы. исправленный вариант качается отсюда
Вложения
7z.gif
Po_shablonu_(AVZ).7z (283.5 Кб, 1 просмотров)
из файлового хранилища VN скачивается старая версия.
 
Начните с ручной сортировки, оно и полезней и всё по порядку будет:)

Ага, а я то доверял программе, чуть пользователю userinit не снёс,
вставил:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\niwhaw.exe','');
 QuarantineFile('C:\WINDOWS\system32\5a0bdd5a.exe','');
 QuarantineFile('C:\WINDOWS\system32\XDva382.sys','');
 QuarantineFile('C:\WINDOWS\system32\nelsqwn.dll','');
 DeleteFile('C:\WINDOWS\system32\nelsqwn.dll');
 DeleteFile('C:\WINDOWS\system32\XDva382.sys');
 DeleteFile('C:\WINDOWS\system32\5a0bdd5a.exe');
 DeleteFile('C:\WINDOWS\system32\niwhaw.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
 DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DeleteService('XDva382');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
а на выходе получил:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\niwhaw.exe','');
 QuarantineFile('C:\WINDOWS\system32\5a0bdd5a.exe','');
 QuarantineFile('C:\WINDOWS\system32\XDva382.sys','');
 QuarantineFile('C:\WINDOWS\system32\nelsqwn.dll','');
 DeleteFile('C:\WINDOWS\system32\nelsqwn.dll');
 DeleteFile('C:\WINDOWS\system32\XDva382.sys');
 DeleteFile('C:\WINDOWS\system32\5a0bdd5a.exe');
 DeleteFile('C:\WINDOWS\system32\niwhaw.exe');
 DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DeleteService('XDva382');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Смотрю чего то не хватает))
 
Ага, а я то доверял программе, чуть пользователю userinit не снёс,
вставил:
что то пока не уловил каким образом ты мог снести... ничего криминального не вижу
 
что то пока не уловил каким образом ты мог снести... ничего криминального не вижу
это связано с
в шаблоне пропущена одна строчка, между командами
...
RegKeyStrParamWrite(' ',' ',' ',' ');

fidget, видно удалил какой-то файл который был прописан в ключе userinit, по идее в результате эвристической чистки AVZ должен удалить этот ключ (в реале он знает о его значение и не удалит, а исправит на правильную даже если эту строчку не добавить), следовательно чтоб не нагнуть систему надо прописать вместо удалённого ключа новое значение.
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
после обработки сортировщиком команд старой версии это команда исчезала из скрипта. вот что подразумевал fidget :).
 
по идее в результате эвристической чистки AVZ должен удалить этот ключ
Глупость несусветная. AVZ вычищает userinit от удаляемых хвостов вполне нормально

Потому
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
нужна (?) для старых версий AVZ и, возможно, для AVP Tool и KIS
 
Глупость несусветная. AVZ вычищает userinit от удаляемых хвостов вполне нормально
thyrex, я это написал.
в реале он знает о его значение и не удалит, а исправит на правильную даже если эту строчку не добавить)
 
Разработчики облегчают нам анализ логов и подготовку скриптов, но голову за нас они включать не будут, это удел каждого хелпера в отдельности. Доверяй утилитам, но проверяй, что копипастишь.
 
весьма и весьма полезная софтинка, единственное НО - добавляет по умолчанию строку ClearQuarantine; что не всегда нужно, ну как сказал(а) Sfera, доверяй но проверяй.
 
beve, программа некорректно обрабатывает скрипт при следующем сценарии:
Имеется изначально скрипт
Код:
begin
 QuarantineFile('C:\1.dll','');
end.

В файле Shablon.txt имеются следующие изменения:
в секции [Functions] добавлена ф-ция AddLineToTxtFile после RegKeyParamWrite

в секции [AddFunctions] добавлены ф-ции
Код:
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');

После обработки получаем сообщение "Функцию CreateQurantineArchive() нужно запускать отдельным скриптом" и код
Код:
begin
 QuarantineFile('C:\1.dll','');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');
end.
 
Назад
Сверху Снизу