ViruLogs Collector by Dragokas [Deleted]

Статус
В этой теме нельзя размещать новые ответы.
ИМХО, не совсем правильная формулировка. Может прямо спросить: "Перегрузить сейчас?" Да-Нет. К тому же через 10 сек. автоматом не перегружает.
Безымянный7.JPG
 
Может прямо спросить: "Перегрузить сейчас?" Да-Нет. К тому же через 10 сек. автоматом не перегружает.
а у меня сразу поверх всего вылетело окошко с завершением, пока я догадался, что его нужно отодвинуть, чтобы нажать кнопки у меня комп в ребут ушёл.
Автозагрузка: _Start.ErrorEXE (reg: RunOnce) переименован в _ViruLogs_Start.ErrorEXE (чтобы "не бросаться на глаза").
кстати, а что это за подозрительный EXE в сборке использован ? Он даже на вирустотал ни разу не проверялся.
MD5 = 10B25B0099CF8534273AE489C9148514
SHA-1 = 26C7D74F58C07B910C3EDFFFF5977509E28F30A8
SHA-256 = 02829D313DCE519D2A9506D368D4798A59C49B748D8CC4D1806A0C28E0EB1A3F
https://www.virustotal.com/ru/file/not/found/
 
Это создание ассоциации с собственным расширением, если запуск exe блокирован.
Он даже на вирустотал ни разу не проверялся.
Вот ты же проверил :) зачем провоцируешь?
 
Последнее редактирование:
Вот ты же проверил
нет, я его не проверял, я только по хешу пытался нагуглить название утилиты.хм., уже появился отчёт https://www.virustotal.com/ru/file/...98a59c49b748d8cc4d1806a0c28e0eb1a3f/analysis/
но это не я загрузил. А что это за файл, что за дополнительная утилита?хм. ;)
Compilation timestamp 2013-11-15 23:36:54
 
Последнее редактирование:
regist, не кипишуй, это всего лишь x64-битная редакция EICAR-a. :D
Drongo должен знать ;), там ведь рядом лежит одноименный CPP-шный исходник.
Запуск CMD файла не через процессор CMD.exe, а через создание процесса.
Ранее у меня возникла проблема с ассоциацией EXE, когда я пытался из-под ключа реестра
запустить команду cmd.exe /c start "" cmd /c Virulogs.cmd.
cmd.exe не смог стартовать.
В системе временно регистрируется новое расширение .ErrorEXE (reg-файл в папке bin)
Ключ реестра -> ErrorEXE -> Virulogs.cmd
_Start получает и передает аргумент запуска. Всего их 2:
Stady1 - запуск сборщика по причине удаления драйвера AVZPM.
Stady2 - запуск сборщика по причине 2 этапа - скрипт № 2.
_Start не привязан к абсолютному пути к утилите, а стартует файл с именем ViruLogs.cmd, который лежит на 2 уровня ниже папки bin.
Можно этим же принципом воспоьзоваться, когда мы запускаем AVZ и другие утилиты.
Например, прямо перед их запуском переименовать расширение в .ErrorEXE. Потом вернуть обратно.
 
это всего лишь x64-битная редакция EICAR-a.
мы же вроде от него отказались?
Drongo должен знать , там ведь рядом лежит одноименный CPP-шный исходник.
ну, это смотрел я, а не Дронго. А cpp я подумал какой-то дополнительный модуль для батников.
Да и вроде изначально было что надо делать всё чтобы можно было смотреть в блокноте? А так опять получается надо с дизамблером смотреть... или предлагаете юзерам компилировать самим EXE и сравнить? В противном случае Дронго два года назад мог всё на С++ написать ;).

В общем, как всегда я не понимаю назначение этого файла там :).
Ну, не нравятся мне непонятные файлы и непонятные проверки, реальной пользы от которых я не понимаю.Кстати заодно ещё одна мелочь, наверно двойная вложенность папки \avz\avz4 не обязательная ;) ?
 
Последнее редактирование:
мы же вроде от него отказались?
я же пошутил.
ИМХО, не совсем правильная формулировка. Может прямо спросить: "Перегрузить сейчас?" Да-Нет. К тому же через 10 сек. автоматом не перегружает.
а должен!
Там команда shutdown -r -t 10. Я когда-то читал, что она не всегда срабатывает на XP, у тебя именно такой случай?
Может, лучше рестарт отдать на совесть команде AVZ - будет ли это надежней?
Надпись сменю.
а у меня сразу поверх всего вылетело окошко с завершением, пока я догадался, что его нужно отодвинуть, чтобы нажать кнопки у меня комп в ребут ушёл.
Ок, придумаю как сделать наоборот - сообщение и через 2 сек. команда на ребут с таймаутом. Ну, хочется мне вот именно так.
а на весь утиль уже 4 детекта. Следующий этап - удаление всех лишних компонентов. _Start.ErrorEXE будет заменен на CMD.ErrorEXE, скопированный из папки Windows.
Ну, не нравятся мне непонятные файлы и непонятные проверки, реальной пользы от которых я не понимаю.
Поддерживаю и упрощаю. В текущем объеме перевод всего на VBScript трудоемко.
Кстати заодно ещё одна мелочь, наверно двойная вложенность папки \avz\avz4 не обязательная ;) ?
Поправлю.
 
Последнее редактирование:
кстати, а что это за подозрительный EXE в сборке использован ? Он даже на вирустотал ни разу не проверялся.
Потому что недавно на свет появился))
Вам наверное тоже пригодится.
рестарт отдать на совесть команде AVZ - будет ли это надежней?
С параметром true должно быть надежно.
 
Последнее редактирование:
shutdown с параметром -f тоже должно быть надежно :) Но эту необходимость нужно нам вместе обсудить...
_____________
Кроме перезагрузки, внес все правки. Теперь детекта только 2: один на утилиту AVZ, другой - SecurityCheck.
 
Пользователь Dragokas обновил ресурс ViruLogs Collector by Dragokas новой записью:

Удалил C++ компонент и 7z-версию архива

0.1.9.5
Programs\avz\avz4: убрана вложенность папок.
Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows
7z-версия архива более не создается (неактуально).

Узнать больше об этом обновлении...
 
Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows
я извиняюсь, конечно приятно что вместо непонятного самописного файла теперь запускается системный файл. Но можно узнать, что это за файл и что он делает? В папке windows я файла с именем CMD.ErrorEXE не нашёл.
 
я извиняюсь, конечно приятно что вместо непонятного самописного файла теперь запускается системный файл. Но можно узнать, что это за файл и что он делает? В папке windows я файла с именем CMD.ErrorEXE не нашёл.
CMD.exe - это командный процессор, который запускает на исполнение скрипты Batch.
Скрипты Batch сами по себе не могут исполняться в памяти. Нужна программа которая интерпретирует их (заставляет понимать ЦП, передает ему инструкции, обрабатывая команды построчно).

Когда мы запускаем файл .CMD или .BAT на самом деле сначала стартует CMD.exe, аргументом которого является скрипт.
В этом можно убедится заглянув в ассоциацию:
HKCR\cmdfile\shell\runas\command
%SystemRoot%\System32\cmd.exe /C "%1" %*
Это пример для глагола "Запуск с повышенными правами".
Если мы просто запускаем двойным кликом, то бат-файл запускается через оболочку Explorer-a, а уже он стартует CMD.exe (в чем можно убедится, посмотрев список процессов).
Параметры запуска видны исходя из:
HKCR\.cmd
cmdfile
-> HKCR\cmdfile\shell\open\command
"%1" %*

Если ассоциация EXE сбита, cmd.exe batnik.bat вот в таком виде не запустится,
но при этом сможет запустится напрямую при двойном клике на .cmd, т.к. он работает через другой ProgID.
К сожалению, из реестра фокус запуска файла .cmd напрямую без указания ком.процессора не проходит,
поэтому мы регистрируем другое расширение .ErrorEXE,
делаем копирование %SystemRoot%\System32\cmd.exe -> %SystemRoot%\System32\cmd.ErrorEXE
и прописываем в реестровый ключ: cmd.ErrorEXE /C Batnik.bat

regist, время жизни файла cmd.ErrorEXE составляет от момента непосредственно перед запускам скрипта № 3... до момента упаковки финального архива,
поэтому ты его больше не видишь в системной папке. Он удаляется. Сборщик не должен оставлять после себя следов/файлов/настроек, о которых не просил пользователь.Koza Nozdri, в принципе, даже если система не смогла перезагрузится,
пользователь видит на экране сообщение о том, что предпринимается попытка это сделать,
т.е. должен понимать, что это нужно сделать вручную.
 
Последнее редактирование:
Dragokas, зачем собирается SecurityCheck.html в архиве он совершенно не нужен
 
1) Я как-то без понятия. Мне было удобно видеть еще и так.
Кто еще как считает, нужен/не нужен?

2) А что на счет
AVZ\Log\virusinfo_syscure.zip
AVZ\Log\virusinfo_syscheck.zip
их в zip-е в архив вставлять, или распакованными (.xml, .htm) нормально?

3) Браузеры после перезагрузки перед скриптом нужно снова стартовать?
 
Сашка, Костя решил исключить ее, начиная с сегодняшнего дня.
 
Не мне решать. Нужно - верну обратно.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу