ViruLogs Collector by Dragokas [Deleted]

Статус
В этой теме нельзя размещать новые ответы.

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,924
Реакции
2,394
Баллы
743
ИМХО, не совсем правильная формулировка. Может прямо спросить: "Перегрузить сейчас?" Да-Нет. К тому же через 10 сек. автоматом не перегружает.
Безымянный7.JPG
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,143
Реакции
6,309
Баллы
1,098
Может прямо спросить: "Перегрузить сейчас?" Да-Нет. К тому же через 10 сек. автоматом не перегружает.
а у меня сразу поверх всего вылетело окошко с завершением, пока я догадался, что его нужно отодвинуть, чтобы нажать кнопки у меня комп в ребут ушёл.
Автозагрузка: _Start.ErrorEXE (reg: RunOnce) переименован в _ViruLogs_Start.ErrorEXE (чтобы "не бросаться на глаза").
кстати, а что это за подозрительный EXE в сборке использован ? Он даже на вирустотал ни разу не проверялся.
MD5 = 10B25B0099CF8534273AE489C9148514
SHA-1 = 26C7D74F58C07B910C3EDFFFF5977509E28F30A8
SHA-256 = 02829D313DCE519D2A9506D368D4798A59C49B748D8CC4D1806A0C28E0EB1A3F
https://www.virustotal.com/ru/file/not/found/
 

akok

Команда форума
Администратор
Сообщения
20,159
Реакции
13,797
Баллы
2,293
Это создание ассоциации с собственным расширением, если запуск exe блокирован.
Он даже на вирустотал ни разу не проверялся.
Вот ты же проверил :) зачем провоцируешь?
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,143
Реакции
6,309
Баллы
1,098
Вот ты же проверил
нет, я его не проверял, я только по хешу пытался нагуглить название утилиты.хм., уже появился отчёт https://www.virustotal.com/ru/file/...98a59c49b748d8cc4d1806a0c28e0eb1a3f/analysis/
но это не я загрузил. А что это за файл, что за дополнительная утилита?хм. ;)
Compilation timestamp 2013-11-15 23:36:54
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,603
Реакции
6,038
Баллы
808
regist, не кипишуй, это всего лишь x64-битная редакция EICAR-a. :D
Drongo должен знать ;), там ведь рядом лежит одноименный CPP-шный исходник.
Запуск CMD файла не через процессор CMD.exe, а через создание процесса.
Ранее у меня возникла проблема с ассоциацией EXE, когда я пытался из-под ключа реестра
запустить команду cmd.exe /c start "" cmd /c Virulogs.cmd.
cmd.exe не смог стартовать.
В системе временно регистрируется новое расширение .ErrorEXE (reg-файл в папке bin)
Ключ реестра -> ErrorEXE -> Virulogs.cmd
_Start получает и передает аргумент запуска. Всего их 2:
Stady1 - запуск сборщика по причине удаления драйвера AVZPM.
Stady2 - запуск сборщика по причине 2 этапа - скрипт № 2.
_Start не привязан к абсолютному пути к утилите, а стартует файл с именем ViruLogs.cmd, который лежит на 2 уровня ниже папки bin.
Можно этим же принципом воспоьзоваться, когда мы запускаем AVZ и другие утилиты.
Например, прямо перед их запуском переименовать расширение в .ErrorEXE. Потом вернуть обратно.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,143
Реакции
6,309
Баллы
1,098
это всего лишь x64-битная редакция EICAR-a.
мы же вроде от него отказались?
Drongo должен знать , там ведь рядом лежит одноименный CPP-шный исходник.
ну, это смотрел я, а не Дронго. А cpp я подумал какой-то дополнительный модуль для батников.
Да и вроде изначально было что надо делать всё чтобы можно было смотреть в блокноте? А так опять получается надо с дизамблером смотреть... или предлагаете юзерам компилировать самим EXE и сравнить? В противном случае Дронго два года назад мог всё на С++ написать ;).

В общем, как всегда я не понимаю назначение этого файла там :).
Ну, не нравятся мне непонятные файлы и непонятные проверки, реальной пользы от которых я не понимаю.Кстати заодно ещё одна мелочь, наверно двойная вложенность папки \avz\avz4 не обязательная ;) ?
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,603
Реакции
6,038
Баллы
808
мы же вроде от него отказались?
я же пошутил.
ИМХО, не совсем правильная формулировка. Может прямо спросить: "Перегрузить сейчас?" Да-Нет. К тому же через 10 сек. автоматом не перегружает.
а должен!
Там команда shutdown -r -t 10. Я когда-то читал, что она не всегда срабатывает на XP, у тебя именно такой случай?
Может, лучше рестарт отдать на совесть команде AVZ - будет ли это надежней?
Надпись сменю.
а у меня сразу поверх всего вылетело окошко с завершением, пока я догадался, что его нужно отодвинуть, чтобы нажать кнопки у меня комп в ребут ушёл.
Ок, придумаю как сделать наоборот - сообщение и через 2 сек. команда на ребут с таймаутом. Ну, хочется мне вот именно так.
а на весь утиль уже 4 детекта. Следующий этап - удаление всех лишних компонентов. _Start.ErrorEXE будет заменен на CMD.ErrorEXE, скопированный из папки Windows.
Ну, не нравятся мне непонятные файлы и непонятные проверки, реальной пользы от которых я не понимаю.
Поддерживаю и упрощаю. В текущем объеме перевод всего на VBScript трудоемко.
Кстати заодно ещё одна мелочь, наверно двойная вложенность папки \avz\avz4 не обязательная ;) ?
Поправлю.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
кстати, а что это за подозрительный EXE в сборке использован ? Он даже на вирустотал ни разу не проверялся.
Потому что недавно на свет появился))
Вам наверное тоже пригодится.
рестарт отдать на совесть команде AVZ - будет ли это надежней?
С параметром true должно быть надежно.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,603
Реакции
6,038
Баллы
808
shutdown с параметром -f тоже должно быть надежно :) Но эту необходимость нужно нам вместе обсудить...
_____________
Кроме перезагрузки, внес все правки. Теперь детекта только 2: один на утилиту AVZ, другой - SecurityCheck.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,603
Реакции
6,038
Баллы
808
Пользователь Dragokas обновил ресурс ViruLogs Collector by Dragokas новой записью:

Удалил C++ компонент и 7z-версию архива

0.1.9.5
Programs\avz\avz4: убрана вложенность папок.
Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows
7z-версия архива более не создается (неактуально).

Узнать больше об этом обновлении...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,143
Реакции
6,309
Баллы
1,098
Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows
я извиняюсь, конечно приятно что вместо непонятного самописного файла теперь запускается системный файл. Но можно узнать, что это за файл и что он делает? В папке windows я файла с именем CMD.ErrorEXE не нашёл.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,603
Реакции
6,038
Баллы
808
я извиняюсь, конечно приятно что вместо непонятного самописного файла теперь запускается системный файл. Но можно узнать, что это за файл и что он делает? В папке windows я файла с именем CMD.ErrorEXE не нашёл.
CMD.exe - это командный процессор, который запускает на исполнение скрипты Batch.
Скрипты Batch сами по себе не могут исполняться в памяти. Нужна программа которая интерпретирует их (заставляет понимать ЦП, передает ему инструкции, обрабатывая команды построчно).

Когда мы запускаем файл .CMD или .BAT на самом деле сначала стартует CMD.exe, аргументом которого является скрипт.
В этом можно убедится заглянув в ассоциацию:
HKCR\cmdfile\shell\runas\command
%SystemRoot%\System32\cmd.exe /C "%1" %*
Это пример для глагола "Запуск с повышенными правами".
Если мы просто запускаем двойным кликом, то бат-файл запускается через оболочку Explorer-a, а уже он стартует CMD.exe (в чем можно убедится, посмотрев список процессов).
Параметры запуска видны исходя из:
HKCR\.cmd
cmdfile
-> HKCR\cmdfile\shell\open\command
"%1" %*

Если ассоциация EXE сбита, cmd.exe batnik.bat вот в таком виде не запустится,
но при этом сможет запустится напрямую при двойном клике на .cmd, т.к. он работает через другой ProgID.
К сожалению, из реестра фокус запуска файла .cmd напрямую без указания ком.процессора не проходит,
поэтому мы регистрируем другое расширение .ErrorEXE,
делаем копирование %SystemRoot%\System32\cmd.exe -> %SystemRoot%\System32\cmd.ErrorEXE
и прописываем в реестровый ключ: cmd.ErrorEXE /C Batnik.bat

regist, время жизни файла cmd.ErrorEXE составляет от момента непосредственно перед запускам скрипта № 3... до момента упаковки финального архива,
поэтому ты его больше не видишь в системной папке. Он удаляется. Сборщик не должен оставлять после себя следов/файлов/настроек, о которых не просил пользователь.Koza Nozdri, в принципе, даже если система не смогла перезагрузится,
пользователь видит на экране сообщение о том, что предпринимается попытка это сделать,
т.е. должен понимать, что это нужно сделать вручную.
 
Последнее редактирование:

glax24

Разработчик
Сообщения
2,001
Реакции
1,485
Баллы
738
Dragokas, зачем собирается SecurityCheck.html в архиве он совершенно не нужен
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,603
Реакции
6,038
Баллы
808
1) Я как-то без понятия. Мне было удобно видеть еще и так.
Кто еще как считает, нужен/не нужен?

2) А что на счет
AVZ\Log\virusinfo_syscure.zip
AVZ\Log\virusinfo_syscheck.zip
их в zip-е в архив вставлять, или распакованными (.xml, .htm) нормально?

3) Браузеры после перезагрузки перед скриптом нужно снова стартовать?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,603
Реакции
6,038
Баллы
808
Сашка, Костя решил исключить ее, начиная с сегодняшнего дня.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,603
Реакции
6,038
Баллы
808
Не мне решать. Нужно - верну обратно.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу