Jump to content

BBOYMIG

Members
  • Content Count

    65
  • Joined

  • Last visited

About BBOYMIG

  • Rank
    Candidate

Recent Profile Visitors

299 profile views
  1. Коллеги, создал запрос: INC000009843688 Сейчас соберу логи. Отправлю в заявку. Просьба помочь. Спасибо.
  2. 1) Согласен. 2) Данный вирус живет на компьютере под управлением Windows XP. Антивируса на нем нет. Будем, тогда каждую станцию индивидуально проверять. В двух случаях пути совпали. 3) Данные станции не в сети.
  3. Сформировал скрипт лечения для проблемного компьютера: begin SearchRootkit(true, true); SetAVZGuardStatus(true); //Отправить файлы на карантин QuarantineFile('C:\Documents and Settings\WalterUser.POWER\fswagz.exe',''); QuarantineFile('C:\Documents and Settings\1634\fswagz.exe',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('C:\WINDOWS\System32\Drivers\3SRTE.SYS',''); QuarantineFile('F:\zivotdalje\samoidi.exe','32'); QuarantineFile('F:\promaja\nazebem.exe','32'); //Удалить файлы DeleteFile('C:\Documents and Settings\1634\fswagz.exe','32'); DeleteFile('C:\Documents and Settings\WalterUser.POWER\fswagz.exe','32'); DeleteFile('F:\autorun.inf','32'); DeleteFile('F:\zivotdalje\samoidi.exe','32'); DeleteFile('F:\promaja\nazebem.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; //Перезагрузить устройство RebootWindows(true); end. Можно этот скрипт сделать универсальным в плане: а) Мы знаем, что исполняемый файл хранится в папке Documents and Settings\Имя пользователя\ с именем fswagz.exe . Написать маску, чтобы у всех пользователь был удален данный файл. б) Удалить на всех подключенных носителях файлы: autorun.inf zivotdalje\samoidi.exe promaja\nazebem.exe в) Через скрипт AVZ изменить параметр реестра: Спасибо
  4. Добавил в конец end. Скрипт заработал, но выгрузил мне все учетные записи в домене. Очень был бы этому рад! Многие задачи я решаю через CSV файлы.
  5. Коллеги, спасибо за ответ! Я еще прочитал информацию, что AVZ умеет выдавать отчет в формате CSV. Добавил в отчет строчку: Добавил в отчет строчку SaveCSVLog(SavePath + 'avz.csv'); Отчет пустой. Может, я что либо упустил? Есть еще вопрос по функционалу. AVZ видит все процессы в системе? Можно ли списком в формате CSV выгрузить все процессы с хешем? Можно ли сделать скрипт, который бы выгружал информацию по пользователям. Их полное имя, логин, SID, время, дату регистрации, время последнего входа?
  6. Файл сохранён как 180910_130024_Comp_2_5b966ae873b1b.zip Размер файла 49089479 MD5 fc9dfcc1e7e8aa4dfdca74cfd7ca579f
  7. Файл сохранён как 180910_123349_Comp_1_5b9664ad1001c.zip Размер файла 24854974 MD5 5ba7fc5e1f02b291c484f25c39e710bd Спасибо ещё раз за помощь! Редко, когда так оперативно отвечают на вопросы.
  8. Спасибо! Всё получилось! Есть еще два вопроса. 1.Будет ли правильно в скрипте указывать обновление антивирусных баз и модулей, если папка из которой запускают задачу с правами только на чтение? 2. Я так понимаю, чтобы пополнить базу чистых файлов, необходимо отправить карантин в сервис Пополнение базы чистых файлов? А если архив весит более 200 мб? Как быстро пополняются баз данных? А то, каждый раз выгружаются куча легитимных DLL библиотек. Анализировать логи становиться проще, когда событий меньше. 3. Данная команда анализирует все записи автозагрузки в системе или только информацию от запущенного пользователя? ExecuteSysCheckEX(SavePath + 'syscheck.htm', $FFFFFFFF, true, 1+4+8+16+64);
  9. В bat файле прописал: set disk=C:\ set User_SavePath=%disk%\%COMPUTERNAME%\AVZ В скрипте прописал: SavePath := NormalDir(GetParamByName('User_SavePath?')); CreateDirectory(SavePath); Выдает ошибку.
  10. Написал небольшой BAT файл. Помимо AVZ будут запускаться и другие программы, поэтому и приходится монтировать сетевой диск, т.к. некоторые программы не могут понять путь UNC. chcp 1251 set disk1=C: %disk1% mkdir %disk1%\%COMPUTERNAME%\ rem определение свободного имя диска, монтирование сетевого диска for /F "tokens=2" %%i in ('net use * \\KSC\klshare\Utilities\Analysis ^| find ":"') do set disk=%%i echo %disk% %disk% REM AVZ mkdir %disk1%\%COMPUTERNAME%\AVZ\ echo f|xcopy /y "%disk%\avz4\update.txt" "%disk1%\%COMPUTERNAME%\AVZ\avz.txt" >nul %disk%\avz4\avz.exe NQ=Y HiddenMode=0 Script=%disk1%\%COMPUTERNAME%\AVZ\AVZ.txt Priority=-1 net use %disk% /delete /yes exit Можно как либо передать параметр %disk1%\%COMPUTERNAME%\ в скрипт AVZ.txt и заменить код: ('C:\'+PCName +'\AVZ\'); Даже не знаю как грамотно данный процесс реализовать, чтобы и безопасно было и все работало.
  11. Очень приятно услышать ответ от автора данного продукта! Есть еще один небольшой вопрос. Если мы указали режим работы HiddenMode=3, а съемный носитель в момент проверки недоступен, то AVZ будет выдавать какие либо диалоговые окна?
  12. Почитал еще эту тему: Задача только сбор информации для анализа без удаления и лечения ВПО. Скрипт, который Олег предлагает для этого подойдет?
  13. Скрипт заработал, когда добавил : end. Я правильно понимаю, что в стандартных скриптах встроены пути карантина и логов и явно указывать пути карантина не имеет смысла? А если ли сами эти скрипты?
  14. Спасибо. Понял. Bat файлом задачей в KSC. \\name_server\avz4\avz.exe HiddenMode=0 NQ=Y MiniLog=Y Script=std2 Script=std8 QuarantineBaseFolder=C:\ Пробовал так, но ничего не происходит. Сделал такой скрипт update.txt : var AVZLogDir : string; begin ExecuteAVUpdate; CreateDirectory('C:\'+GetComputerName); AVZLogDir := ('C:\'+GetComputerName); ExecuteStdScr(2); ExecuteStdScr(8); ExitAVZ; Запускаю его avz.exe Script=update.txt Выдает ошибку: Выполнение скрипта из файла Ошибка скрипта: ';' expected, позиция [10:1] Выполнение скрипта завершено Лучше бы конечно команду одной строчкой без скрипта.
  15. Добрый день! Можно ли как либо организовать запуск AVZ на удаленных компьютерах со сбором стандартных скриптов 2,4,8 и данные логи отправить в определенную папку? Я так понимаю, что AVZ можно указать скрипт, который бы он выполнял, но как указать папку с которую нужно скопировать данные результаты проверки? avz.exe script=update.txt ---------------------------- ***update.txt*** begin ExecuteAVUpdate; ExecuteStdScr(2); ExecuteStdScr(4); ExecuteStdScr(8); ExitAVZ; end. Спасибо.
×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.