-
Junior Member
- Вес репутации
- 33
Сообщение от
regist
KPOBOCICb, у вас размер итогового архива сколько был?
regist, 60мб (если точно, то 63265426 байт)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Зайцев Олег, скачал сегодня свежею версию полиморфа. Нажимаю Справка - О программе - получаю такую ошибку
- - - - -Добавлено - - - - -
При попытке выполнения второго стандартного скрипта вылазит ошибка
такое чувство, что там нету баз, хотя файл весит 9,35 МБ (9*810*944 байт)
avz.exe
MD5 = A460BFBCDD69033A39680C5A04576F5D
SHA-1 = 39DF800566681AEBE358ACBE1755A1016291345C
SHA-256 = D068FBCE42C65002BD81C1BAE10541C6F9DC31AFE27948B242 C2DEFD5EF896F1
-
-
При попытке выполнить стандартные скрипты 2, 3 в полиморфе - тоже ошибки:
Но только при первой попытке, дальше выполняется без проблем.
-
-
Зайцев Олег,
а можете ещё и редактор скриптов обновить, чтобы не ругался на ошибки синтаксиса из-за GetLastExitCode.
-
-
Сообщение от
regist
Зайцев Олег, скачал сегодня свежею версию полиморфа. Нажимаю Справка - О программе - получаю такую ошибку
avz.exe
MD5 = A460BFBCDD69033A39680C5A04576F5D
SHA-1 = 39DF800566681AEBE358ACBE1755A1016291345C
SHA-256 = D068FBCE42C65002BD81C1BAE10541C6F9DC31AFE27948B242 C2DEFD5EF896F1
В ходе сборки глюк небольшой был, устранено, полиморф обновлен.
-
-
Зайцев Олег, спасибо, теперь нормально и кнопки не наезжают друг на друга. А что по поводу остальных замечаний в теме и предложения ввести команду IsAdmin ?
- - - - -Добавлено - - - - -
Сообщение от
Зайцев Олег
Где GetLastExitCode вернет:
- код возврата процесса, если процесс нормально завершился,
- $FFFFFFFF - если была ошибка запуска и процесс не запустился вообще (или не было вызовов ExecuteFile)
- $FFFFFFFE - если процесс запустился и был прибит по таймауту
а 259 (0x103) как понимаю означает, что таймаут закончился, но процесс продолжает работать?
Скрипт для теста
Код:
begin
clearlog;
ExecuteFile('notepad.exe', '', 1, 100, false);
AddTolog(IntToStr(GetLastExitCode));
end.
-
-
-
-
Junior Member
- Вес репутации
- 34
Зайцев Олег, в логе попалась такая строчка:
Код:
Найден URL автонастройки браузера IE S-1-5-21-143219890-619782464-2317140772-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings, AutoConfigURL="http://xxxxxxxxxx.com/b59FFgM/Wbom.ury"
Обратите внимание: в настройках IE задан прокси-сервер Internet\ManualProxies = "0http://confpacs.com/b59FFgM/Wbom.ury"
при использовании таблетки 22, параметр AutoConfigURL не меняется. Возможно ли это исправить?
Последний раз редактировалось chinaski; 20.04.2015 в 12:39.
-
Сообщение от
regist
Исправлено уже.
Здравствуйте,
Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.
С уважением, антивирусная лаборатория
-
-
В последней версии полиморфного AVZ создаются "битые" XML логи, а точнее он вставляет лишнюю парную кавычку перед AVZMD5.
Код HTML:
<AVZ Version="4.46" LogDate="21.04.2015 15:59:29" WinDir="C:\Windows\" OS_MjVer="6" OS_MiVer="1" OS_Build="7601" OS_ProductName="Windows 7 Ultimate" BootMode="0" OS_CSDV="Service Pack 1" ProfileDir="C:\Users\Даниил" Session="" Domain="WORKGROUP" IsWow64="True" IsAdmin="True" Base64Mode="False" IsSRDisabled="False" MainDBDate="18.04.2015 04:00:33" CompHash="0DEBEAB0803D328ED5A2855B1589605E"" AVZMD5="D9F81C2513736F64460DBCEDC62ECD33" >
пример лога.
-
-
Сообщение от
regist
В последней версии полиморфного AVZ создаются "битые" XML логи, а точнее он вставляет лишнюю парную кавычку перед AVZMD5.
Код HTML:
<AVZ Version="4.46" LogDate="21.04.2015 15:59:29" WinDir="C:\Windows\" OS_MjVer="6" OS_MiVer="1" OS_Build="7601" OS_ProductName="Windows 7 Ultimate" BootMode="0" OS_CSDV="Service Pack 1" ProfileDir="C:\Users\Даниил" Session="" Domain="WORKGROUP" IsWow64="True" IsAdmin="True" Base64Mode="False" IsSRDisabled="False" MainDBDate="18.04.2015 04:00:33" CompHash="0DEBEAB0803D328ED5A2855B1589605E"" AVZMD5="D9F81C2513736F64460DBCEDC62ECD33" >
пример лога.
Есть такой глюк, пофиксил, сборка AVZ обновлена
-
-
Сообщение от
chinaski
при использовании таблетки 22, параметр AutoConfigURL не меняется. Возможно ли это исправить?
Дополню, что эта таблетка исправляет прокси только в ветках
Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies]
А в остальных ControlSet остаются троянские настройки, надо бы поправить чтобы она в цикле обходила и исправляла и в остальных.
-
-
Сообщение от
regist
Дополню, что эта таблетка исправляет прокси только в ветках
Код:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies]
А в остальных ControlSet остаются троянские настройки, надо бы поправить чтобы она в цикле обходила и исправляла и в остальных.
В [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\, если точно, остальные ветки - копии, их чистить не обязательно
-
-
Сообщение от
Зайцев Олег
остальные ветки - копии, их чистить не обязательно
а если юзер воспользуется восстановлением системы?
- - - - -Добавлено - - - - -
CreateInfectedArchive
1) При клике на вызов справки по команде из редактора скриптов открывается неправильная ссылка.
2)
function CreateInfectedArchive(AFileName : string; AQrInfoFiles : string = '') : boolean;
Функция создает архив с файлами, помещенными сегодня в Infected (т.е. берутся все файлы из папки карантина, соответствующей текущей дате). Архив имеет ZIP формат, пароль - virus. Если указанная в параметре AFileName папка не существует, то перед сохранением архива делается попытка создать ее.
Функция создает архив с файлами, помещенными сегодня в Infected - ошибка, видно перешло из справки по команде CreateInfectedArchive
3) Команда должна создать архив с карантином из папки с текущей датой внутри папки Quarantine, верно?
Для теста берём создаём в папке Quarantine ещё одну папку, например назовём её Test и кладём туда карантин (либо просто переименуем папку с каким-то старым карантином в такое имя). Выполняем скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
В архиве с карантином вместо файлов закарантиненых сегодня получаем старые файлы из папки Test.
-
-
Сообщение от
regist
а если юзер воспользуется восстановлением системы?
- - - - -Добавлено - - - - -
CreateInfectedArchive
1) При клике на вызов справки по команде из редактора скриптов открывается
неправильная ссылка.
2)
Функция создает архив с файлами, помещенными сегодня в
Infected - ошибка, видно перешло из справки по команде
CreateInfectedArchive
3) Команда должна создать архив с карантином из папки с текущей датой внутри папки Quarantine, верно?
Для теста берём создаём в папке Quarantine ещё одну папку, например назовём её Test и кладём туда карантин (либо просто переименуем папку с каким-то старым карантином в такое имя). Выполняем скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
В архиве с карантином вместо файлов закарантиненых сегодня получаем старые файлы из папки Test.
CreateInfectedArchive - в общем-то устаревшая функция, предполагалось с ее помощью получать копии объектов, удаленных сигнатурным анализатором AVZ. Сейчас практически не применяется ...
-
-
Зайцев Олег а можно добавить в AVZ отдельную команду, которая будет архивировать файлы из папки карантина в zip архив с паролем infected? Просто при отправкe карантина в ЛК имеется проблема с отправкой карантинa, т.к. там по умолчанию пароль должен быть infected, а не virus.
-
-
Сообщение от
Зайцев Олег
CreateInfectedArchive - в общем-то устаревшая функция
не с той странички скопировал. Я подразумевал ошибки в функции CreateQurantineArchive http://z-oleg.com/secur/avz_doc/scri...ntinearchi.htm
1) Неправильная ссылка в редакторе http://z-oleg.com/secur/avz_doc/inde...inearchive.htm
2) Неправильное описание функции
function CreateQurantineArchive(AFileName : string; AQrInfoFiles : string = '') : boolean;
Функция создает архив с файлами, помещенными сегодня в папку карантина (т.е. берутся все файлы из папки Infected, соответствующей текущей дате). Архив имеет ZIP формат, пароль - virus. Если указанная в параметре AFileName папка не существует, то перед сохранением архива делается попытка создать ее.
То есть функций CreateInfectedArchive, но
архив с файлами, помещенными сегодня в папку карантина (т.е. берутся все файлы из
папки Infected, соответствующей текущей дате).
3) Если в папке Qurantine есть папка например с названием Test, то вместо обещанного в документации карантина за сегодняшнее число упакованы будут файлы из этой тестовой папки.
- - - - -Добавлено - - - - -
Сообщение от
mike 1
а можно добавить в AVZ отдельную команду, которая будет архивировать файлы из папки карантина в zip архив с паролем infected? Просто при отправкe карантина в ЛК имеется проблема с отправкой карантинa, т.к. там по умолчанию пароль должен быть infected, а не virus.
тогда уж лучше универсальную команду, чтобы можно было архивировать с произвольным паролем.
А ещё лучше добавить обещанную ещё в 2012 году архивацию и разархивацию произвольных файлов.
-
-
Сообщение от
regist
тогда уж лучше универсальную команду, чтобы можно было архивировать с произвольным паролем.
Хорошо, это не сложно - можно пробовать на полиморфе, он обновлен. В скрипт в любое место до начала создания архива с карантином вставить:
SetupAVZ('QrPWD=infected');
Например:
Код:
begin
// Очистка карантина
ClearQuarantine;
// Автокарантин
ExecuteAutoQuarantine;
// Создание архива с файлами, помещенными в карантин
SetupAVZ('QrPWD=infected');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
За счет использования SetupAVZ получается полная совместимость скриптов с старыми версиями AVZ (они попросту проигнорируют данную настройку). Системы Кибера кстати принимают архивы с паролем infected наравне с паролем virus
-
-
Зайцев Олег, а что по поводу этого
Сообщение от
chinaski
при использовании таблетки 22, параметр AutoConfigURL не меняется. Возможно ли это исправить?
Ведь если этот параметр не исправить, то заново пропишется троянской прокси, в итоге 22-я таблетка в таких случаях получается бесполезна. Это ведь вроде и через обновление баз можно поправить.
-
-
Сообщение от
regist
Зайцев Олег, а что по поводу этого
Ведь если этот параметр не исправить, то заново пропишется троянской прокси, в итоге 22-я таблетка в таких случаях получается бесполезна. Это ведь вроде и через обновление баз можно поправить.
Ну в принципе да, логика есть. Включил бекап и удаление этого параметра в 22-ю таблетку, базы обновлены.
-