[quote="regist;1140363"]Непонятные символы в XML[/quote]
вот ещё свежий лог [url]http://virusinfo.info/attachment.php?attachmentid=504698&d=1413977442[/url]
[IMG]http://i63.fastpic.ru/big/2014/1023/d7/2500b0b3f017b5c636b0f969d52ea1d7.png[/IMG]
Printable View
[quote="regist;1140363"]Непонятные символы в XML[/quote]
вот ещё свежий лог [url]http://virusinfo.info/attachment.php?attachmentid=504698&d=1413977442[/url]
[IMG]http://i63.fastpic.ru/big/2014/1023/d7/2500b0b3f017b5c636b0f969d52ea1d7.png[/IMG]
[QUOTE=regist;1132299][b]Зайцев Олег[/b],
1) AVZ проверяет настройки прокси и выводит в лог информацию об
Но AVZ не проверяет ключ
[CODE]HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\[/CODE]
например не видит такое
[CODE]Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies]
@="http=127.0.0.1:8080"[/CODE]
[/QUOTE]
Добавил эвристику на данный ключ, теперь он выводится в лог и XML + дополнительное предупреждение в логе. Кроме того, добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies
[url]http://virusinfo.info/attachment.php?attachmentid=504954&d=1414069276[/url]
опять Winlogon, Shell неправильно распарсило.
[HTML]<ITEM File="Settings\DEPO\cbzvl.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\Documents and Settings\DEPO\cbzvl.exe" Is64="0"[/HTML]
[QUOTE=regist;1177917][url]http://virusinfo.info/attachment.php?attachmentid=504954&d=1414069276[/url]
опять Winlogon, Shell неправильно распарсило.
[HTML]<ITEM File="Settings\DEPO\cbzvl.exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_CURRENT_USER" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Shell" X4="explorer.exe,C:\Documents and Settings\DEPO\cbzvl.exe" Is64="0"[/HTML][/QUOTE]
Пофиксил. Но без обновления самого AVZ не исправится - там логика парсера была построена исходя из предположения, что в параметре shell может быть одно значение. Я посмотрел, как реализован код в системе (на примере Win7), и оказалось, что там допускается указание нескольких исполняемых файлов, разделитель - запятая или пробел.
[quote="Зайцев Олег;1177844"]Добавил эвристику на данный ключ, теперь он выводится в лог и XML + дополнительное предупреждение в логе. Кроме того, добавлена операция восстановления системы №22 - она удаляет все Proxy, как из настроек IE, так и из HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\N laSvc\Parameters\Internet\ManualProxies[/quote]
[b]Зайцев Олег[/b], похоже при этом что-то поломалось в диагностике сети. Подробней см. скрин. Оба лога сделаны на одной и той же системе. Один лог базы последний раз обновлялись до этой фичи, второй лог (где информации по ping нет) базы обновлены только что.
[IMG]http://i66.fastpic.ru/big/2014/1024/b7/30fbba7c874df910ba9a8e17f2a94db7.png[/IMG]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
форум урезает картинку, так что [url]http://i66.fastpic.ru/big/2014/1024/b7/30fbba7c874df910ba9a8e17f2a94db7.png[/url] так смотреть удобней.
[QUOTE=regist;1178284][b]Зайцев Олег[/b], похоже при этом что-то поломалось в диагностике сети. [/QUOTE]
В XML оно писалось как положено, но был отключен вывод данных в лог. Подправил, базы обновлены - теперь данные пишутся в лог как и ранее. Есть мысли, что еще и как следует проверять в разделе диагностики сети ?
[QUOTE=Зайцев Олег;1178317]Есть мысли, что еще и как следует проверять в разделе диагностики сети ?[/QUOTE]
Всё-таки, хочется видеть информацию о DNS-серверах, полученных через DHCP для текущего соединения. Пока что вижу пустой раздел "Network TCP/IP settings".
[quote="Vvvyg;1178336"]Всё-таки, хочется видеть информацию о DNS-серверах, полученных через DHCP для текущего соединения. Пока что вижу пустой раздел "Network TCP/IP settings".[/quote]
Поддерживаю, иногда только из-за этого приходится дополнительные логи просить.
[b]Зайцев Олег[/b],
1) очень часто в Xml лог параметр SHPath пустой, а в случаях с CheckResult="3" похоже он всегда пустой. Для [URL="http://rghost.ru/58723517"]примера лог.[/URL] Это можно исправить с обновлением баз?
Кстати а CheckResult="2" или CheckResult="-2" в логах AVZ используется?
2) При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах. [COLOR="#D3D3D3"](про этот баг кажется уже писали, но вроде он остался без внимания).[/COLOR].
3) В будущей версии хотелось бы вывод в Xml что-то типа CRC="true" или false (для определения файлового), а также пометки если логи делались полиморфной версий.
[QUOTE=regist;1179209][b]Зайцев Олег[/b],
1) очень часто в Xml лог параметр SHPath пустой, а в случаях с CheckResult="3" похоже он всегда пустой. Для [URL="http://rghost.ru/58723517"]примера лог.[/URL] Это можно исправить с обновлением баз?
Кстати а CheckResult="2" или CheckResult="-2" в логах AVZ используется?
2) При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах. [COLOR="#D3D3D3"](про этот баг кажется уже писали, но вроде он остался без внимания).[/COLOR].
3) В будущей версии хотелось бы вывод в Xml что-то типа CRC="true" или false (для определения файлового), а также пометки если логи делались полиморфной версий.[/QUOTE]
1. Это от режима поиска задания зависит (в новой версии будет выводиться в XML параметр TaskMode (1 -через API, 2б3 - напрямую разными методами) и параметр is64 - показывающий, в какой папке заданий найдено конкретное задание.
2. Добавил, теперь поддерживается.
3. Вывел в XML параметр AVZMD5 - он позволит контролировать изменения файла, и плюс позволит точно идентифицировать сборку AVZ
[quote="Зайцев Олег;1177594"]2. Ключ реестра на Win7 другой (хотя параметры те-же). Бага, пофиксил, с очередным апдейтом баз будет фиксить. По остальным политикам нужен точный список,[/quote]
1) Протестировал на XP. Мастер поиска и устранения проблем видит проблему и успешно её исправляет. А если применить 7-ю стандартную операцию восстановления, то ничего не меняется.
2) В список проверяемых блокировок думаю стоит добавить блокировку "Отключить контекстное меню." Настраивается также через gpedit.
3) По ключу winlogon попался ещё один интересный лог [url]http://rghost.ru/58818223[/url]
[IMG]http://i67.fastpic.ru/big/2014/1031/58/a2c2466dc3aab98733823d21a315d058.png[/IMG]
[HTML]<ITEM File=".exe" CheckResult="-1" Enabled="-1" Type="REG" X1="HKEY_LOCAL_MACHINE" X2="Software\Microsoft\Windows NT\CurrentVersion\Winlogon" X3="Userinit" X4="""" Is64="0"/>[/HTML]
4) [quote="regist;1179209"]При вставке команд с помощью кнопок в HTML логе параметр is64 игнорируется. И просто для заданий всегда подставляется 64 на 64-х битных системах.[/quote][quote="Зайцев Олег;1179501"]2. Добавил, теперь поддерживается.[/quote]
Как понимаю это будет уже в следующей версии AVZ ?
5) Полиморф последний раз обновлялся 2014-06-03 может пора его обновить? Заодно и новые фичи можно было бы уже пробовать.
[url]http://virusinfo.info/attachment.php?attachmentid=507123&d=1414844377[/url]
Адварь попала в базу чистых
[CODE]c:\program files (x86)\suptab\loader32.exe[/CODE]
[url]https://www.virustotal.com/ru/file/210a2a43313f4f20a98b72eec887fbbccad0c3004e5b92a4d968d41ed457c222/analysis/[/url]
[URL="http://virusinfo.info/showthread.php?t=170029"]Помогите победить вирус который не видит Доктор Веб (заявка № 170029)[/URL] - из двух тушек зловреда в автозапуске AVZ увидел только одну.
[quote="regist;1181576"]Протестировал на XP. Мастер поиска и устранения проблем видит проблему и успешно её исправляет. А если применить 7-ю стандартную операцию восстановления, то ничего не меняется.[/quote]
Аналогичная проблема и с ExecuteRepair(1); для наглядности записал видео.
[url]http://rghost.ru/58861838[/url]
PS. разумеется после запуска первой таблетки пробовал перезагружаться и потом заново делать поиск проблем. Проблема оставалась.
[QUOTE=regist;1182629]Аналогичная проблема и с ExecuteRepair(1); для наглядности записал видео.
[url]http://rghost.ru/58861838[/url]
PS. разумеется после запуска первой таблетки пробовал перезагружаться и потом заново делать поиск проблем. Проблема оставалась.[/QUOTE]
Да, там в "пилюле" 1 был более простой алгоритм проверки и чистки, чем в визарде (поэтому с скриптах лечения я советую включать визард в режиме автоисправления проблем вместо ExecuteRepair). Я поправил работу ExecuteRepair(1), базы обновлены.
С "пилюлей №7" аналогично, подправил ее работу, базы обновлены
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[QUOTE=regist;1181765][url]http://virusinfo.info/attachment.php?attachmentid=507123&d=1414844377[/url]
Адварь попала в базу чистых
[CODE]c:\program files (x86)\suptab\loader32.exe[/CODE]
[url]https://www.virustotal.com/ru/file/210a2a43313f4f20a98b72eec887fbbccad0c3004e5b92a4d968d41ed457c222/analysis/[/url][/QUOTE]
А это точно адварь ? (ничего визуально зловредного она не делает, хотя собственно с этим и проблема - где грань между обычным тулбаром и адварью ...)
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Vvvyg;1182426][URL="http://virusinfo.info/showthread.php?t=170029"]Помогите победить вирус который не видит Доктор Веб (заявка № 170029)[/URL] - из двух тушек зловреда в автозапуске AVZ увидел только одну.[/QUOTE]
Есть точные данные о том, какой ключ автозапуска (или что-то аналогичное) не был проверен ?
[QUOTE=Зайцев Олег;1183774]Есть точные данные о том, какой ключ автозапуска (или что-то аналогичное) не был проверен ?[/QUOTE]
Вроде как обычный:
[CODE]HKEY_USERS\S-1-5-21-273636069-3309521061-3536232462-1000\Software\Microsoft\Windows\CurrentVersion\Run\Qinanq[/CODE]
Возможно, зловред как руткит работает, UVS выдал:[QUOTE](!) Обнаружен сплайсинг: NtQueryDirectoryFile
(!) Обнаружен сплайсинг: LdrLoadDll
(!) Обнаружен сплайсинг: NtEnumerateValueKey[/QUOTE]
После удаления трояна эти предупреждения исчезли. Не говоит ли это о том, что антируткит в AVZ на x64 системах нуждается в доработке? Карантин в теме есть, можно посмотреть зловреда.
[quote="Зайцев Олег;1183774"]А это точно адварь ? (ничего визуально зловредного она не делает, хотя собственно с этим и проблема - где грань между обычным тулбаром и адварью ...)[/quote]
Это за доказательство, что программа нежелательная сойдёт? [url]https://www.google.com/search?ie=UTF-8&oe=UTF-8&q=SupTab&gws_rd=ssl[/url]
и речь ведь всего-лишь о том, чтобы убрать из базы чистых.
[QUOTE=regist;1183815]Это за доказательство, что программа нежелательная сойдёт? [url]https://www.google.com/search?ie=UTF-8&oe=UTF-8&q=SupTab&gws_rd=ssl[/url]
и речь ведь всего-лишь о том, чтобы убрать из базы чистых.[/QUOTE]
как доказательство - нет, так как такое к каждой второй (если не первой) тулбари годится (начиная с приблуд от mail.ru :) Но выкинуть из БД чистых не вопрос, нужны лишь MD5 (для данного файла я нашел все его варианты и выкинул, его DLL кстати детектируется как AdWare.Win32.Agent.aljt )
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
[QUOTE=Vvvyg;1183810]Вроде как обычный:
[CODE]HKEY_USERS\S-1-5-21-273636069-3309521061-3536232462-1000\Software\Microsoft\Windows\CurrentVersion\Run\Qinanq[/CODE]
Возможно, зловред как руткит работает, UVS выдал:
После удаления трояна эти предупреждения исчезли. Не говоит ли это о том, что антируткит в AVZ на x64 системах нуждается в доработке? Карантин в теме есть, можно посмотреть зловреда.[/QUOTE]
Юзер не все логи сделал. В его логе видно:
Функция ntdll.dll:NtEnumerateValueKey (298) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:NtQueryDirectoryFile (403) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Функция ntdll.dll:ZwEnumerateValueKey (1527) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:ZwQueryDirectoryFile (1631) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:ZwResumeThread (1712) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Но [U]нет отметок о снятия перехвата[/U], так как по умолчанию для минимизации глюков и конфликтов с антивирусами на Win7 антируткит AVZ работает без нейтрализации хуков.
[b]Зайцев Олег[/b], а что по поводу пунктов 4 и 5 тут [url]http://virusinfo.info/showthread.php?t=155719&p=1181576&viewfull=1#post1181576[/url]
Я правильно, понял, что правки относящие is64 появятся, только в новой версии?
-------------------
[quote="Зайцев Олег;1183827"]начиная с приблуд от mail.ru[/quote]
ну, по ним хоть ссылки для скачивания можно найти. А это в гугле искал, чтобы проверить есть ли детекты у каспера (по одной ссылке про это писали), а там везде только вопросы как удалить. И как доказательство вредности согласен не годится, а как доказательство "нежелательной программы", которую стоит видеть в логах и самому принимать решение ;).
На вопрос про детект вы уже сами ответили, а также как понимаю это уже доказательство
[quote="Зайцев Олег;1183827"]AdWare.Win32.Agent.aljt[/quote]
[quote="Зайцев Олег;1183827"]нужны лишь MD5 (для данного файла я нашел все его варианты и выкинул, его DLL кстати детектируется как AdWare.Win32.Agent.aljt )[/quote]
[b]Зайцев Олег[/b], кибер ведь понимает, что эти файлы (библиотеки, драйвера и т.д.) от одной программы? При этом он также видит, что на некоторые из файлов этой программы есть детект. Почему же он тогда добавляет другие части этой программы в базу доверенных? Ещё один пример с такой адварой когда кибер занёс её в базу, но детект на некоторые из её файлов был это Ace Stream.
[QUOTE=regist;1184029][b]Зайцев Олег[/b], кибер ведь понимает, что эти файлы (библиотеки, драйвера и т.д.) от одной программы? При этом он также видит, что на некоторые из файлов этой программы есть детект. Почему же он тогда добавляет другие части этой программы в базу доверенных? Ещё один пример с такой адварой когда кибер занёс её в базу, но детект на некоторые из её файлов был это Ace Stream.[/QUOTE]
Машина многое понимает, но скажем в Ace Stream 1-2 файла адварные (он таскает адварь в своем составе), остальное - собственно Ace Stream. Вот и вопрос - все файлы Ace Stream признать адварью, или только часть (причем скорее всего если эту часть прибить, все остальное работать не будет). Другая проблема - это подход к понятию "чистый" (аналогичный проблемы классификации можно кстати видеть и на WL портале ЛК). Суть проблемы в том, что многие адвари в общем-то безопасные, т.е. они ничего не воруют, не уничтожают и не заражают. Подавляющее большинство ставятся с чем-то легитимным по причине того, что пользователь не снял где-то птичку или невнимательно читал условия распространения.
[quote="Зайцев Олег;1184059"]Подавляющее большинство ставятся с чем-то легитимным по причине того, что пользователь не снял где-то птичку или невнимательно читал условия распространения.[/quote]
У этого подавляющего большиства адварь (тулбар или что там идёт в комплекте) не имеет ничего общего с самой программой. То есть это партнёрская программа со сторонним производителем. В таких случаях, думаю, правильней весь этот бонус от неснятой галочки считать адварью, а не только отдельную .dll, то есть в базу чистых заносить не надо.
[QUOTE=Зайцев Олег;1183827]Юзер не все логи сделал. В его логе видно:
Функция ntdll.dll:NtEnumerateValueKey (298) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:NtQueryDirectoryFile (403) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:NtResumeThread (484) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Функция ntdll.dll:ZwEnumerateValueKey (1527) перехвачена, метод APICodeHijack.JmpTo[00076386]
Функция ntdll.dll:ZwQueryDirectoryFile (1631) перехвачена, метод APICodeHijack.JmpTo[00076636]
Функция ntdll.dll:ZwResumeThread (1712) перехвачена, метод APICodeHijack.JmpTo[000753C6]
Но [U]нет отметок о снятия перехвата[/U], так как по умолчанию для минимизации глюков и конфликтов с антивирусами на Win7 антируткит AVZ работает без нейтрализации хуков.[/QUOTE]
Так, Олег, поподробнее можно? Какие ещё логи в AVZ нужно было сделать?
[b]Зайцев Олег[/b], просьба сделать, чтобы [URL="http://z-oleg.com/secur/avz_doc/index.html?script_executefile.htm"]ExecuteFile[/URL] возвращала вместо boolean больше значимой информации. В частности возращала код ошибки, если запускаемая ею программа завершилась с ошибкой. А также возвращала какой-то код ошибки, если запускаемая программа была принудительно принудительно завершена по истечению таймаута.
[QUOTE=regist;1184849][b]Зайцев Олег[/b], просьба сделать, чтобы [URL="http://z-oleg.com/secur/avz_doc/index.html?script_executefile.htm"]ExecuteFile[/URL] возвращала вместо boolean больше значимой информации. В частности возращала код ошибки, если запускаемая ею программа завершилась с ошибкой. А также возвращала какой-то код ошибки, если запускаемая программа была принудительно принудительно завершена по истечению таймаута.[/QUOTE]
Так пойдет ?
[CODE]begin
ExecuteFile('notepad.exe', '', 1, 10000, true);
AddToLog(IntToStr(GetLastExitCode));
end.[/CODE]
Где GetLastExitCode вернет:
- код возврата процесса, если процесс нормально завершился,
- $FFFFFFFF - если была ошибка запуска и процесс не запустился вообще (или не было вызовов ExecuteFile)
- $FFFFFFFE - если процесс запустился и был прибит по таймауту
Если да, то в новой версии это появится, я добавил такую функцию
[B]Олег[/B], а можно еще одну просьбу.
По мотивам темы [url]http://virusinfo.info/showthread.php?t=169474[/url]
Ну очень нужно добавить функцию DeleteDirectoryF (пример есть в скриптах) и кнопочку для ее вставки в скрипт в строках с удалением файлов. Понимаю, что опасно в очумелых ручках неопытных пользователей, но это лучше, чем вручную перелопачивать весь скрипт.
AVZ не внёс в лог задачу запуска майнера: [URL="http://virusinfo.info/showthread.php?t=170535"]помогите невозможно сидеть за компьютером (заявка № 170535)[/URL].
[PHP]Доп. информация на момент обновления списка
pid = 3820 Радж-ПК\Радж
CmdLine C:\Users\Радж\AppData\Roaming\WinRAR\Reversed\steam.exe overbtc12345.
Процесс создан 20:41:32 [2014.11.10]
С момента создания 00:36:45
parentid = 1188 C:\WINDOWS\SYSTEM32\TASKENG.EXE
ESTABLISHED 192.168.1.5:53249 <-> 5.61.33.146:9001
CmdLine OVERBTC12345.
SHA1 9C8934B69A6037BF7011E5DAD119C5F3B4594545
MD5 0FEBF83DF0A27B75050235D03C44F065
Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\STEAM-S-1-8-22-9865GUI[/PHP]
И хотелось бы всё-таки увидеть ответ на ранее заданный вопрос, о том, что ещё надо было сделать, чтобы руткит был виден AVZ. 1-й стандартный перед вторым?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=thyrex;1185193]Ну очень нужно добавить функцию DeleteDirectoryF (пример есть в скриптах) и кнопочку для ее вставки в скрипт в строках с удалением файлов. Понимаю, что опасно в очумелых ручках неопытных пользователей, но это лучше, чем вручную перелопачивать весь скрипт.[/QUOTE]
Поддерживаю, сам мучаюсь...
[QUOTE=thyrex;1185193][B]Олег[/B], а можно еще одну просьбу.
По мотивам темы [url]http://virusinfo.info/showthread.php?t=169474[/url]
Ну очень нужно добавить функцию DeleteDirectoryF (пример есть в скриптах) и кнопочку для ее вставки в скрипт в строках с удалением файлов. Понимаю, что опасно в очумелых ручках неопытных пользователей, но это лучше, чем вручную перелопачивать весь скрипт.[/QUOTE]
Хорошо, а если сделать так - в скрипте делается поддержка возможности "импорта" пользовательских библиотек. Т.е. типа :
uses vi;
begin
...
end.
Библиотека лежит в обновляемых базах, и содержит функции, которые помогают хелперам автоматизировать что-то (типа той самой DeleteDirectoryF). Тогда набор поддерживаемых функций можно менять и обновлять, не обновляя самого AVZ, только за счет баз
Можно и так
[b]Зайцев Олег[/b], а описание этих функций будет в справке к AVZ ? Вставлять в скрипт их надо будет вручную либо через редактор скриптов? Тогда надо сделать ещё поддержку такой обновляемой базы и в редакторе скриптов. (Отдельно возможность подключать свои пользовательские функции без привязки к базам AVZ там есть и сейчас).
[QUOTE=regist;1187086][b]Зайцев Олег[/b], а описание этих функций будет в справке к AVZ ? Вставлять в скрипт их надо будет вручную либо через редактор скриптов? Тогда надо сделать ещё поддержку такой обновляемой базы и в редакторе скриптов. (Отдельно возможность подключать свои пользовательские функции без привязки к базам AVZ там есть и сейчас).[/QUOTE]
Если это будет библиотека, то по ней будет отдельный хелп. Просто идея библиотека (а там в библиотеку можно функции затолкать, или класс) хороша тем, что ее можно развивать/документироать/тестировать отдельно, а главное - обновлять через базы
1) Если изменения будут только в ввиде улучшения в ходе тестирования функции, то тогда понятно. А если через базы туда будут добавляться новые функции, то не несовсем понятно, как это будет документировано. Конечно после обновления баз вы можете обновить хелп на сайте, но многие и не догадаются, что после обновления баз и в хелпе что-то поменялось.
+ Если это выполняется на сайте, то тут хелперы следят и просят обновить базы. А так если добавить новую команду, то может посыпаться много сообщений об ошибках, что мол версия AVZ последняя (только что скачал с оф. сайта), а скрипт выдаёт ошибку. Или к примеру юзео обновлял базы пару дней назад, а за это время эта библиотека обновилась.
2) [URL="http://rghost.ru/59161125"]Дампы падения AVZ[/URL]. Через форму на сайте загрузил, но на всякий случай дублирую сюда. Скорее всего конфликт с драйвером Sandboxie.
[url]http://rghost.ru/59200273[/url]
Неправильно распарсило задание.
[IMG]http://i68.fastpic.ru/big/2014/1122/ac/6fc4d33b9eedbd79e9108de56b87caac.png[/IMG]
[HTML]<ITEM File="C:\Users\?????????\AppData\Roaming\CCMM.exe /infocmdline=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" JobName="CCMM.job" Status="267011" CheckResult="-1" Enabled="3367648" Descr="" LegalCopyright="" SHPath="" FullCmd="C:\Users\?????????\AppData\Roaming\CCMM.exe /infocmdline=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" />[/HTML]
[B]Олег[/B], бывают случаи, когда то, о чем написано выше, парсится нормально, бывает, что именно так, как показано, а бывает и вообще ассорти :)
[QUOTE=thyrex;1191629][B]Олег[/B], бывают случаи, когда то, о чем написано выше, парсится нормально, бывает, что именно так, как показано, а бывает и вообще ассорти :)[/QUOTE]
Все зависит от того, найдется ли файл на диске. Если да, парсинг будет похож на правду, если нет - то у парсера нет понимания, правильно пропарсился путь/имя и файла нет, или файл есть, но парсинг некорректен.
Но, может быть хоть самые очевидные варианты не коверкать? Через 2 лога на 3-м встречается такое - отсутствующий файл [B]C:\Program Files (x86)\DVD Maker\DVDMaker.exe[/B] в автозагрузке попадает в лог, как два объекта:
C:\Program Files (x86)\DVD
и
Maker\DVDMaker.exe
с одним ключом реестра:
[CODE]HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dvd Maker, EventMessageFile[/CODE]
Понятно же, что путь с пробелом.
[quote="Зайцев Олег;1193723"]Все зависит от того, найдется ли файл на диске. Если да, парсинг будет похож на правду, если нет - то у парсера нет понимания, правильно пропарсился путь/имя и файла нет, или файл есть, но парсинг некорректен.[/quote]При этом почему-то в пути вместо учетки с кириллическими символами в логе знаки "?"
Хотя другие пути с подобным отображаются нормально.
[quote="Vvvyg;1193740"]Но, может быть хоть самые очевидные варианты не коверкать?[/quote][B]Олег[/B], может дельфийскую процедуру ExtractStrings использовать для реализации? Или это невозможно?
По поводу парсинга имён напомню, что этот глюк до сих пор не исправлен
[IMG]http://i67.fastpic.ru/big/2014/1128/44/76be579157a6237cd703bb8cb92b6544.png[/IMG]
В [URL="http://virusinfo.info/attachment.php?attachmentid=514075&d=1417257979"]этом логе[/URL], [URL="http://rghost.ru/59328592"]зеркало если вдруг юзер удалит.[/URL]
Имя пользователя ProfileDir="C:\Users\Losos[B][COLOR="#0000FF"][SIZE=3]'[/SIZE][/COLOR][/B]"
А при генерации команд по HTML логу эта одинарная кавычка куда-то исчезает.
Олег, приветствую.
В логах, в разделе планировщика заданий, в колонке Имя файла,
файл с путем отображается как простой текст.
Можно сделать как например в разделе Автозапуск, что бы при наведении мышью на него выпадала всплывающая подсказка с информацией о файле?