PDA

Просмотр полной версии : ESET SysInspector



DefesT
06.03.2009, 14:04
Случайно наткнулся на форум поддержки Нот32 http://www.esetnod32.ru/forum/, тоже что-то типа "Помогите" только используют не AVZ, а своё ноу-хау ESET SysInspector
http://www.esetnod32.ru/download/sysinspector.php
Кто-нибудь изучал данное творение?

Kuzz
06.03.2009, 14:59
К сведению: Поиск по форуму работает.

http://virusinfo.info/showthread.php?t=15004&highlight=ESET+SysInspector
http://virusinfo.info/showthread.php?t=14738&highlight=ESET+SysInspector

santy
10.03.2009, 15:10
Случайно наткнулся на форум поддержки Нот32 http://www.esetnod32.ru/forum/, тоже что-то типа "Помогите" только используют не AVZ, а своё ноу-хау ESET SysInspector
http://www.esetnod32.ru/download/sysinspector.php
Кто-нибудь изучал данное творение?

Логи информативны, а вот система сервисных скриптов не отдокументирована... каким образом предполагается (и предполагается ли вообще) с ее помощью выполнять лечение пока непонятно.

Kuzz
10.03.2009, 15:26
Скорее всего предполагается, что скрипты Вам напишет техподдержка ESETа ;)

santy
10.03.2009, 15:35
Скорее всего предполагается, что скрипты Вам напишет техподдержка ESETа ;)

Сам скрипт генерируется в текстовом формате по выбранному разделу лога, или по всем секциям лога, но что дальше делать с этим скриптом, как запустить его на выполнение - точно неизвестно. Некоторые говорят, что достаточно там проставить символы удаления, но конечно, без ссылок на какие-то официальные источники. Следует, конечно это проверить... но пока не вполне удобно работать с полученным скриптом... потому что он логирует всю выбранную секцию лога, а не с учетом фильтра рейтинга записей. (Но, может быть это и не скрипт, а всего лишь инфо для скрипта. Не знаю.)

Пример cервисного скрипта (функция Export to Service Script):


ESET SystemStatus log, versions: ev 1206 (20090206), gv EAVBE 4.0.314.0, lv 1.0
Session start: 3 Mar 2009, 12:38:56
Session end: 3 Mar 2009, 12:53:03
Flags: 32bit, AntiStealth
Description: SysInspector-VMXP-***-090303-1238

01) Running processes:
- c:\windows\system32\smss.exe *408,8320*
- c:\windows\system32\csrss.exe *628,99FA*
- c:\windows\system32\winlogon.exe *656,1921*
- c:\windows\system32\services.exe *700,176D*
- c:\windows\system32\lsass.exe *712,DBEF*
- c:\program files\eset\eset remote administrator\server\era.exe *1716,1E46*
- c:\program files\vmware\vmware tools\vmwareservice.exe *1788,FCA9*
- c:\program files\eset\eset nod32 antivirus\sysinspector.exe *1940,7A9D*
- c:\windows\explorer.exe *2028,13EF*

07) Services:
- Name: Оповещатель, exe path: c:\windows\system32\alrsvc.dll, state: Stopped, startup: Disabled
- Name: Служба шлюза уровня приложения, exe path: c:\windows\system32\alg.exe, state: Running, startup: Manual
- Name: Управление приложениями, exe path: c:\windows\system32\appmgmts.dll, state: Running, startup: Manual
- Name: Windows Audio, exe path: c:\windows\system32\audiosrv.dll, state: Running, startup: Automatic
- Name: Фоновая интеллектуальная служба передачи (BITS), exe path: c:\windows\system32\qmgr.dll, state: Stopped, startup: Manual
...
08) Drivers:
- Name: Abiosdsk, exe path: , state: Stopped, startup: Disabled
- Name: abp480n5, exe path: , state: Stopped, startup: Disabled
Boot
- Name: ACPIEC, exe path: c:\windows\system32\drivers\acpiec.sys, state: Stopped, startup: Disabled
- Name: adpu160m, exe path: , state: Stopped, startup: Disabled
...

Kuzz
10.03.2009, 16:56
Главным образом ESET SysInspector предназначен для специалистов поддержки ESET. Программа помогает им решать проблемы клиентов, повышает эффективность и скорость работы техподдержки.


(функция Export to Service Script)
Можно и так: "Export to Service" - как экспорт для поддержки, а "Script" - как не точное "лог"

santy
10.03.2009, 18:10
Версиям 1.1.1.0, что выложены на сайте esetnod32, как и 1.1.2.0 на сайте eset.com как минимум уже год, в продукты EAV 4.0, ESS 4.0 встроена новая версия соотв. 3.0.314, но встроенная версия работает только при наличии установленного продукта. Версии 1.1.1, 1.1.2 могут работать самостоятельно, но там нет этих фишек: (по русски - "сценарии службы", "сценарии удаления").
---
Провел небольшой опыт. Экспортировал список процессов в текстовый лог, отметил вместо "-" знаком "плюс" + существующий процесс - qip.exe, после запуска сценария службы, подтвердил исполнение неподписанного скрипта, получил сообщение - скрипт выполнен без ошибок... процесс qip.exe исчез с радара process Explorer-а. Полагаю, так будет и со службами, записями реестра, модулями, драйверами, отдельными файлами, записями в hosts. Действительно, следует тестировать SysInspector и на реальных заражениях.
---
реально вылечил hosts: добавил две записи
127.0.0.1 www.eset.com
127.0.0.1 www.drweb.com
в новом логе hosts из зеленого метафоризировался в красный.
удалил записи с помощью сервисного скрипта. Smile.