ViruLogs Collector by Dragokas [Deleted]

Sandor · 18 Ноя 2013

ИМХО, не совсем правильная формулировка. Может прямо спросить: "Перегрузить сейчас?" Да-Нет. К тому же через 10 сек. автоматом не перегружает.

regist · 18 Ноя 2013

Sandor написал(а):
Может прямо спросить: "Перегрузить сейчас?" Да-Нет. К тому же через 10 сек. автоматом не перегружает.

а у меня сразу поверх всего вылетело окошко с завершением, пока я догадался, что его нужно отодвинуть, чтобы нажать кнопки у меня комп в ребут ушёл.

Dragokas написал(а):
Автозагрузка: _Start.ErrorEXE (reg: RunOnce) переименован в _ViruLogs_Start.ErrorEXE (чтобы "не бросаться на глаза").

кстати, а что это за подозрительный EXE в сборке использован ? Он даже на вирустотал ни разу не проверялся.
MD5 = 10B25B0099CF8534273AE489C9148514
SHA-1 = 26C7D74F58C07B910C3EDFFFF5977509E28F30A8
SHA-256 = 02829D313DCE519D2A9506D368D4798A59C49B748D8CC4D1806A0C28E0EB1A3F
https://www.virustotal.com/ru/file/not/found/

akok · 18 Ноя 2013

Это создание ассоциации с собственным расширением, если запуск exe блокирован.

regist написал(а):
Он даже на вирустотал ни разу не проверялся.

Вот ты же проверил

зачем провоцируешь?

regist · 18 Ноя 2013

akok написал(а):
Вот ты же проверил

нет, я его не проверял, я только по хешу пытался нагуглить название утилиты.хм., уже появился отчёт https://www.virustotal.com/ru/file/...98a59c49b748d8cc4d1806a0c28e0eb1a3f/analysis/
но это не я загрузил. А что это за файл, что за дополнительная утилита?хм.

Compilation timestamp 2013-11-15 23:36:54

Trojan-Spy.Win32.Zbot

Dragokas · 18 Ноя 2013

regist, не кипишуй, это всего лишь x64-битная редакция EICAR-a.

Drongo должен знать

, там ведь рядом лежит одноименный CPP-шный исходник.

Запуск CMD файла не через процессор CMD.exe, а через создание процесса.
Ранее у меня возникла проблема с ассоциацией EXE, когда я пытался из-под ключа реестра
запустить команду cmd.exe /c start "" cmd /c Virulogs.cmd.
cmd.exe не смог стартовать.
В системе временно регистрируется новое расширение .ErrorEXE (reg-файл в папке bin)
Ключ реестра -> ErrorEXE -> Virulogs.cmd

_Start получает и передает аргумент запуска. Всего их 2:
Stady1 - запуск сборщика по причине удаления драйвера AVZPM.
Stady2 - запуск сборщика по причине 2 этапа - скрипт № 2.
_Start не привязан к абсолютному пути к утилите, а стартует файл с именем ViruLogs.cmd, который лежит на 2 уровня ниже папки bin.

Можно этим же принципом воспоьзоваться, когда мы запускаем AVZ и другие утилиты.
Например, прямо перед их запуском переименовать расширение в .ErrorEXE. Потом вернуть обратно.

regist · 18 Ноя 2013

Dragokas написал(а):
это всего лишь x64-битная редакция EICAR-a.

мы же вроде от него отказались?

Dragokas написал(а):
Drongo должен знать , там ведь рядом лежит одноименный CPP-шный исходник.

ну, это смотрел я, а не Дронго. А cpp я подумал какой-то дополнительный модуль для батников.
Да и вроде изначально было что надо делать всё чтобы можно было смотреть в блокноте? А так опять получается надо с дизамблером смотреть... или предлагаете юзерам компилировать самим EXE и сравнить? В противном случае Дронго два года назад мог всё на С++ написать

.

В общем, как всегда я не понимаю назначение этого файла там

.
Ну, не нравятся мне непонятные файлы и непонятные проверки, реальной пользы от которых я не понимаю.Кстати заодно ещё одна мелочь, наверно двойная вложенность папки \avz\avz4 не обязательная

?

Dragokas · 18 Ноя 2013

regist написал(а):
мы же вроде от него отказались?

я же пошутил.

Sandor написал(а):
ИМХО, не совсем правильная формулировка. Может прямо спросить: "Перегрузить сейчас?" Да-Нет. К тому же через 10 сек. автоматом не перегружает.

а должен!
Там команда shutdown -r -t 10. Я когда-то читал, что она не всегда срабатывает на XP, у тебя именно такой случай?
Может, лучше рестарт отдать на совесть команде AVZ - будет ли это надежней?
Надпись сменю.

regist написал(а):
а у меня сразу поверх всего вылетело окошко с завершением, пока я догадался, что его нужно отодвинуть, чтобы нажать кнопки у меня комп в ребут ушёл.

Ок, придумаю как сделать наоборот - сообщение и через 2 сек. команда на ребут с таймаутом. Ну, хочется мне вот именно так.

regist написал(а):
Trojan-Spy.Win32.Zbot

а на весь утиль уже 4 детекта. Следующий этап - удаление всех лишних компонентов. _Start.ErrorEXE будет заменен на CMD.ErrorEXE, скопированный из папки Windows.

regist написал(а):
Ну, не нравятся мне непонятные файлы и непонятные проверки, реальной пользы от которых я не понимаю.

Поддерживаю и упрощаю. В текущем объеме перевод всего на VBScript трудоемко.

regist написал(а):
Кстати заодно ещё одна мелочь, наверно двойная вложенность папки \avz\avz4 не обязательная ?

Поправлю.

Кирилл · 18 Ноя 2013

regist написал(а):
кстати, а что это за подозрительный EXE в сборке использован ? Он даже на вирустотал ни разу не проверялся.

Потому что недавно на свет появился))
Вам наверное тоже пригодится.

Dragokas написал(а):
рестарт отдать на совесть команде AVZ - будет ли это надежней?

С параметром true должно быть надежно.

Dragokas · 18 Ноя 2013

shutdown с параметром -f тоже должно быть надежно

Но эту необходимость нужно нам вместе обсудить...
_____________
Кроме перезагрузки, внес все правки. Теперь детекта только 2: один на утилиту AVZ, другой - SecurityCheck.

Dragokas · 18 Ноя 2013

Пользователь Dragokas обновил ресурс ViruLogs Collector by Dragokas новой записью:

Удалил C++ компонент и 7z-версию архива

0.1.9.5
Programs\avz\avz4: убрана вложенность папок.
Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows
7z-версия архива более не создается (неактуально).

Узнать больше об этом обновлении...

akok · 18 Ноя 2013

Koza Nozdri написал(а):
С параметром true должно быть надежно.

Зачем так серпом по яйцам? Мы же ничего не удаляем, ИМХО false в самый раз

regist · 18 Ноя 2013

Dragokas написал(а):
Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows

я извиняюсь, конечно приятно что вместо непонятного самописного файла теперь запускается системный файл. Но можно узнать, что это за файл и что он делает? В папке windows я файла с именем CMD.ErrorEXE не нашёл.

Dragokas · 18 Ноя 2013

regist написал(а):
я извиняюсь, конечно приятно что вместо непонятного самописного файла теперь запускается системный файл. Но можно узнать, что это за файл и что он делает? В папке windows я файла с именем CMD.ErrorEXE не нашёл.

CMD.exe - это командный процессор, который запускает на исполнение скрипты Batch.
Скрипты Batch сами по себе не могут исполняться в памяти. Нужна программа которая интерпретирует их (заставляет понимать ЦП, передает ему инструкции, обрабатывая команды построчно).

Когда мы запускаем файл .CMD или .BAT на самом деле сначала стартует CMD.exe, аргументом которого является скрипт.
В этом можно убедится заглянув в ассоциацию:
HKCR\cmdfile\shell\runas\command
%SystemRoot%\System32\cmd.exe /C "%1" %*
Это пример для глагола "Запуск с повышенными правами".
Если мы просто запускаем двойным кликом, то бат-файл запускается через оболочку Explorer-a, а уже он стартует CMD.exe (в чем можно убедится, посмотрев список процессов).
Параметры запуска видны исходя из:
HKCR\.cmd
cmdfile
-> HKCR\cmdfile\shell\open\command
"%1" %*

Если ассоциация EXE сбита, cmd.exe batnik.bat вот в таком виде не запустится,
но при этом сможет запустится напрямую при двойном клике на .cmd, т.к. он работает через другой ProgID.
К сожалению, из реестра фокус запуска файла .cmd напрямую без указания ком.процессора не проходит,
поэтому мы регистрируем другое расширение .ErrorEXE,
делаем копирование %SystemRoot%\System32\cmd.exe -> %SystemRoot%\System32\cmd.ErrorEXE
и прописываем в реестровый ключ: cmd.ErrorEXE /C Batnik.bat

regist, время жизни файла cmd.ErrorEXE составляет от момента непосредственно перед запускам скрипта № 3... до момента упаковки финального архива,
поэтому ты его больше не видишь в системной папке. Он удаляется. Сборщик не должен оставлять после себя следов/файлов/настроек, о которых не просил пользователь.Koza Nozdri, в принципе, даже если система не смогла перезагрузится,
пользователь видит на экране сообщение о том, что предпринимается попытка это сделать,
т.е. должен понимать, что это нужно сделать вручную.

glax24 · 18 Ноя 2013

Dragokas, зачем собирается SecurityCheck.html в архиве он совершенно не нужен

Dragokas · 18 Ноя 2013

1) Я как-то без понятия. Мне было удобно видеть еще и так.
Кто еще как считает, нужен/не нужен?

2) А что на счет
AVZ\Log\virusinfo_syscure.zip
AVZ\Log\virusinfo_syscheck.zip
их в zip-е в архив вставлять, или распакованными (.xml, .htm) нормально?

3) Браузеры после перезагрузки перед скриптом нужно снова стартовать?

Сашка · 18 Ноя 2013

http://safezone.cc/threads/ne-otkryvaet-odnoklassniki-agent-mejl-ru.22746/#post-165121

RSIT в набор не попал. Отключили?

glax24 · 18 Ноя 2013

Dragokas написал(а):
Кто еще как считает, нужен/не нужен?

Не нужен для хэлперов есть .txt

Dragokas · 18 Ноя 2013

Сашка, Костя решил исключить ее, начиная с сегодняшнего дня.

Сашка · 18 Ноя 2013

??? чтобы отдельно делали?

Dragokas · 18 Ноя 2013

Не мне решать. Нужно - верну обратно.

ViruLogs Collector by Dragokas [Deleted]

Sandor

regist

гоняюсь за туманом

akok

regist

гоняюсь за туманом

Dragokas

Very kind Developer

regist

гоняюсь за туманом

Dragokas

Very kind Developer

Кирилл

Dragokas

Very kind Developer

Dragokas

Very kind Developer

akok

regist

гоняюсь за туманом

Dragokas

Very kind Developer

glax24

Dragokas

Very kind Developer

Сашка

Ветеран

glax24

Dragokas

Very kind Developer

Сашка

Ветеран

Dragokas

Very kind Developer