Как собрать логи avz с windows машин

Обновлено: 04.07.2024

О программе

Утилита AutoLogger - автоматический сборщик логов на компьютере для дальнейшего анализа зараженной системы и ее восстановления. Все реализовано на скриптах AVZ и имеет гибкую структуру настроек и диалога для конечного пользователя

Что нового

Системные требования

Полезные ссылки

Подробное описание

AutoLogger в своём составе работает полностью на скрипте AVZ и содержит:

1. AVZ
2. RSIT (x86\x64)
3. HiJackThis
4. CheckBrowsersLNK
5. 7za.exe
6. Всё собирается и упаковывается на сервере.

AutoLogger работает из той папки с которой он был запущен, создавая в ней свою структуру каталогов:

* .. - путь к папке откуда вы запустили AutoLogger

  1. Запущен ли AutoLogger в учётной записи с ограниченными правами или в терминальной сессии, если да то выведет соответствующее уведомление.
  2. Актуальности баз.
  3. Обновление если таковое потребуется.
  4. Проверку браузера по умолчанию и запуск IE и браузера по умолчанию.
  5. В зависимости от разрядности произойдёт выполнение того или иного пункта сбора логов (стандартный скрипт №2 или №3).
  6. Выведет запрос перезагрузки если это понадобится отложить перезагрузку, пользователь позже может самостоятельно её произвести.
  7. Если понадобится произведет попытку автоматически снять блокировку реестра.
  8. После перезагрузки выполнен скрипт №2 и сбор логов RSIT и Check Browsers' LNK.
  9. Упаковка логов в архив.
  10. Завершение работы AutoLogger.

Всё реализовано на скриптах AVZ и имеет гибкую структуру настроек и диалога для конечного пользователя. Есть поддержка ключей командной строки, подробней про поддерживаемые ключи смотрите FAQ.

Оценка пользователей

Другие программы

AVZ
Антивирусная утилита для продвинутых пользователей для обнаружение и удаление шпионского

VIPRE Rescue Scanner
Антивирусный сканер командной строки для проверки и лечения зараженного компьютера

Рекомендуем

рейтинг

БЕСПЛАТНО

рейтинг

БЕСПЛАТНО

рейтинг

ПРОБНАЯ

Давно обсуждаемая тема:
Автоматическое получение логов.

Как это возможно реализовать?

В авз такой функционал будет доступен даже консольно,а вот с rsit уже сложнее.

Примерно вижу это так:
Диалоговое окно,в котором имеется чекбокс напротив нужных утилит в списке,предварительно упакованных в cab например.

По поводу того,что бы утилиты всегда были свежими-можно указать адрес скачивания на зеркало.

Думаю такой набор будет востребован среди пользователей.

Комментарий от Dragokas:

//TODO: 0.1.9.6 (обновлен) +

//TODO
Окно прерывания работы зависшей утилиты из набора.

//TODO 0.1.9.7 +
Обойти фильтр SmartScreen в Win8, чтобы заработал SecurityCheck.
Проверка сборщиком обновлений самого себя.
Дописывать к финальному архиву сразу - дату/время в формате dd.mm.yyyy-hh.mm


0.1.9.6.
Добавлен RSIT. Обновления не проверяются, т.к. в ближайшее время не планируются.
В ver.0.1.9.5 система не перезагружалась после удаления драйвера AVZPM. Исправлено.

0.1.9.5
Programs\avz\avz4: убрана вложенность папок.
Удален _Start_ViruLogs.ErrorEXE, заменен на CMD.ErrorEXE, который запускается из папки Windows
7z-версия архива более не создается (неактуально).

  • содержит время запуска/завершения и длительность выполнения каждой утилиты;
  • длительность перезагрузки;
  • протокол работы стандартных скриптов AVZ и ошибки обновления баз;
  • такие различия, как незапуск AVZ либо его зависание уже в процессе сканирования.
  • Протокол называется v

0.1.9.1
Запуск SecurityCheck в тихом режиме (без отображения результатов).

Файлы:
Финальный лог теперь создается в главной папке.
Удалена утилита nircmd.exe

Сеть:
Увеличено кол-во попыток для установки связи до 4 (для плохих линий Интернета).

Ошибки и безопасность:
Баг со скобкой ) в пути исправлен, восклицательные знаки (!) и другие спецсимволы также доступны.
Множество других правок мелких ошибок.

Чистка следов:
Чистка и удаление папок с логами от каждой из утилит.
Удаление драйвера AVZ по заврешению скрипта № 2
Удаление ветки реестра TrendMicro, если ее не было.
Удаление драйверов и других следов AVZ после его отработки (скрипт № 6 сразу после скрипта № 2)

Утилита AVZ снабжена множеством инструментов для выявления вирусов/троянов и их удаления. Например, чтобы изучить активные прцессы: "Сервис" - > "Диспетчер процессов" и на экране увидите активные процессы, которые можно завершать. И для облегчения анализа данных, AVZ раскрашивает обнаруженные элементы разным цветом: зеленым выделены известные утилите чистые файлы, а черным неизвестные файлы, которые могут как вирусными, так и чистыми. А красным выделены файлы, которые заслуживают особого внимания.

А для изучения автозагрузки выберите "сервис" - > "менеджер автозапуска".

Но AVZ имеет много разных сервисов и менеджеров, поэтому для ускорения анализа системы удобней создать лог, в котором будут выделены все элементы заслуживающие внимание. Лог AVZ представляет собой html файл с возможностью создать "на лету" скрипт лечения системы. Далее процесс лечения с помощью AVZ будет рассмотрен именно через анализ лога AVZ и создание скрипта лечения.

- Запуск утилиты AVZ -

Перед началом лечения системы необходимо обязательно обновить базы AVZ: "Файл" -> "Обновление баз" -> "Пуск". Если это невозможно сделать на зараженном компьютере, то обновите на здоровой системе.

  • переименуйте файл avz.exe , например, в 2345435.exe или winlogon.exe
  • смените расширение exe на com или scr или cmd и т.п.
  • используйте ключи: AM=Y для включения базовой защиты; ag=y для включения AVZGuard; NewDsk=Y для запуска AVZ на отдельном рабочем.

Чтобы обездвижить вирус на время анализа системы включите AVZGuard : "AVZGuard " - > "Включить. " . Если при его включении вдруг возникают проблемы, то что нужно делать? Правильно, не включать.

- Создание лога AVZ -

Для создания лога: "Файл" -> "Стандартные скрипты", поставьте галки на первый скрипт "Поиск и нейтрализация RootKit UserMode и KernelMode" и второй скрипт "Скрипт сбора информации для раздела. ", затем нажмите "Выполнить отмеченные скрипты" и ждите.


Если возникли проблемы при выполнении этих скриптов, то повторите, но не выставляйте галку на первый скрипт.

После того, как AVZ сообщит, что "Скрипты выполнены", отключите " AVZGuard ". Найдите в папке AVZ папку " LOG", а в ней файл virusinfo_syscheck.htm - это и есть лог AVZ, с помощью которого будете создавать скрипт лечения.

Внимание! При создании скрипта лечения необходимо осознавать, что это связано с риском нанести серьезный урон системе неопытным пользователем. Будьте предельно внимательны. Если не уверены в своих действиях, то лучше обратитесь к более опытному специалисту.

В качестве подопытного изучите этот лог: virusinfo_syscheck.htm

После открытия лога в браузере советую сразу промотать лог в раздел "Подозрительные объекты".


Внимание, если файл показался подозрительным утилите AVZ, то это не значит, что файл действительно зловредный. Произведите анализ расширения файла, имя файла, путь расположения файла. Сопоставьте с информацией в "Описании", изучите "Тип". И только после этого выносите ему приговор. Для примера посмотрите на скриншот:


На скриншоте видно, что утилита AVZ посчитала подозрительными файлы SandBox.sys и afwcore.sys, пролистываем лог вниз и видим, что эти файлы опознаны как безопасные и удалять их категорически нельзя.



Вернемся к зловредным файлам. Например, подозрительный файл "c:\windows\system32\28463\mkmp.006" - файл расположен в подозрительной папке, у него подозрительное расширение, также AVZ сообщает, что он похож на зловред "Monitor.Win32.Ardamax.jk", значит с большой степенью вероятности это зловред, щелкните "Удалить" под записью.


Аналогично с зловредными файлами "c:\windows\system32\28463\mkmp.007", "C:\WINDOWS\system32\28463\MKMP.007", "C:\WINDOWS\system32\28463\MKMP.006". Вот уже и положено начало скрипту лечения. Теперь изучите запись "C:\WINDOWS\system32\VBoxMRXNP.dll". Изучите ее по подозрительным критериям. Будете ее удалять? Если не будете, то правильно и сделаете, это нужный чистый файл, который удалять нельзя.

Далее следует вернуться к началу лога и проанализировать его полностью.

Первый раздел лога "Список процессов" отображает процессы, которые были активны на момент создания лога. Обратите внимание, что чистые процессы помечены зеленым цветом и удалять их не советую. Желтым цветом помечены неизвестные процессы, которые могут быть как вирусными, так и полезными (необходимыми!) и следует внимательно проанализировать запись.

Например, "c:\docume

1\temp\ins1f.tmp.exe" - явная подозрительная запись: расположена во временной папке, странное имя файла, двойное расширение, отсутствует описание, отсутствует Copyright, дата создания/изменения свежая. Нажмите под этой записью сначала "Завершить", затем "Удалить".

Аналогично выносим смертный приговор записям "c:\windows\system32\28463\mkmp.exe", "c:\documents and settings\admin\Рабочий стол\simolean-generator.exe".

А вот записи "c:\windows\system32\vboxservice.exe" и "c:\windows\system32\vboxtray.exe" чистые и их нельзя удалять!

Далее изучаем модули:


Щелкаем "Удалить" в отношении записей "C:\WINDOWS\system32\28463\MKMP.006", "C:\WINDOWS\system32\28463\MKMP.007". Кстати, если их уже обрабатывали, то ничего страшного, если они будут упоминаться в скрипте несколько раз, пусть это и не очень красиво, но на эффективности скрипта никак не скажется.

Раздел "Модули пространства ядра". Тут все записи чистые.

Раздел "Службы". Тут только одна неизвестная запись, но которая является чистым файлом, удалять нельзя.

Раздел "Драйверы". Здесь будьте предельно осторожны. Неизвестных записей много, и как правило, они чистые и крайне важны для работы системы.

Раздел "Автозапуск". Неизвестных записей (не зеленых) будет много, удаляйте только явно подозрительные. Например, "C:\Documents and Settings\Admin\Application Data\Tupumo\ovnab.exe" соответствует нескольким критериям подозрительности. Щелкните под этой записью "Удалить", в "Описание" тоже "Удалить". Аналогично поступить с "C:\WINDOWS\system32\28463\MKMP.exe"

Раздел "Модули расширения Internet Explorer (BHO, панели . )". Здесь вы можете обнаружить различные навязчивые тулбары. Но в нашем примере здесь нет зловредных записей.

Раздел "Модули расширения проводника". Чисто.

Разделы "Модули расширения системы печати (мониторы печати, провайдеры)", "Задания планировщика задач Task Scheduler", "Настройки SPI/LSP" - чисто.

"Порты TCP/UDP" - тут одна зловредная запись "c:\docume

Разделы "Downloaded Program Files (DPF)", "Апплеты панели управления (CPL)", "Active Setup" - чисто.

Раздел "Файл HOSTS" - данный файл зловреды могут использовать для переадресации на поддельные сайты или для "заземления" сайтов антивирусов. Если будут подозрительные записи, то щелкните по "Очистка файла Hosts".

После того, как отработаете все подозрительные записи, смотрите низ лога, окно "Команды скрипта" - здесь вы увидите создаваемый скрипт лечения.

Команды скрипта

- Обязательные (и не очень) примочки скрипта -

Под скриптом посмотрите какие можно еще добавить команды:


Щелкните по командам:

  • "Нейтрализация перехватов функций при помощи антируткита" (назначение понятно из названия),
  • "Включить AVZGuard" (позволит обездвижить вирусы на момент выполнения скрипта),
  • "Чистка реестра после удаления файлов",
  • "ExecuteWizard ('TSW',2,3,true) - Выполнение мастера поиска и устранения проблем" (почистит возможные следы заражения),
  • "Перезагрузка" (после выполнения скрипта необходимо перезагрузить компьютер).

Внимание, команды "Нейтрализация перехватов функций при помощи антируткита" и "Включить AVZGuard" могут вызвать ошибки на 64-битных системах. Учитывайте это, не включайте эти команды при лечении 64 битной Windows. Если не известно, какая разрядность системы, то можно строки скрипта:

SetAVZGuardStatus(True);
SearchRootkit(true, true);

if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;

Для борьбы с трудноудаляемыми вредоносными программами используйте технологию Boot Cleaner утилиты AVZ: команды "BootCleaner - импортировать все" и "BootCleaner - активация" .

Посмотрите Дополнительные операции:


Добавление команд из Дополнительных операций позволяют немного оптимизировать систему с точки зрения безопасности. Для лечения системы в этом нет необходимости! Щелкать по данным командам нужно выборочно и с умом. Например, если вы добавите в скрипт "отключить службу Schedule (Планировщик заданий)", то это с большой степенью вероятности негативно скажется на работе системы. Из данных команд можно добавить:

  • "отключить службу RemoteRegistry (Удаленный реестр)",
  • "отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)",
  • "отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)",
  • "безопасность - отключить административный доступ к локальным дискам",
  • "безопасность - блокировать возможность подключения анонимных пользователей".

Повторюсь, Дополнительные операции не требуются для лечения системы.

После того, как закончили анализ лога, скопируйте код скрипта из окна "Команды скрипта", у вас должен получится примерно такой скрипт:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\documents and settings\admin\Рабочий стол\simolean-generator.exe');
TerminateProcessByName('c:\windows\system32\28463\mkmp.exe');
TerminateProcessByName('c:\docume

1\temp\ins1f.tmp.exe');
DeleteFile('c:\windows\system32\28463\mkmp.exe');
DeleteFile('c:\documents and settings\admin\Рабочий стол\simolean-generator.exe');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.006');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.007');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Tupumo\ovnab.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','');
DeleteFile('C:\WINDOWS\system32\28463\MKMP.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MKMP Agent');
BC_DeleteFile('c:\docume

1\temp\ins1f.tmp.exe');
DeleteFile('c:\windows\system32\28463\mkmp.006');
DeleteFile('c:\windows\system32\28463\mkmp.007');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Далее запустите на зараженной системе утилиту AVZ, "Файл" - > " Выполнить скрипт". Если скрипт был сохранен в txt файл, то выберите его через "Загрузить". Если скрипт был скопирован в буфер, то вставьте его из буфера. Для выполнения скрипта нажмите "Запустить".

Как пользоваться AVZ

Современные антивирусы обросли различными дополнительными функционалами настолько сильно, что у некоторых пользователей возникают вопросы в процессе их использования. В данном уроке мы расскажем вам обо всех ключевых особенностях работы антивируса AVZ.

Возможности AVZ

Давайте рассмотрим как можно подробнее на практических примерах, что из себя представляет AVZ. Основного внимания обычного пользователя заслуживают следующие его функции.

Проверка системы на наличие вирусов

Любой антивирус должен уметь выявлять на компьютере вредоносное ПО и разбираться с ним (лечить или удалять). Естественно, что данная функция присутствует и в AVZ. Давайте посмотрим на практике, что из себя представляет подобная проверка.

  1. Запускаем AVZ.
  2. На экране появится небольшое окошко утилиты. В области, отмеченной на скриншоте ниже, вы найдете три вкладки. Все они относятся к процессу поиска уязвимостей на компьютере и содержат разные опции.

Вкладки с настройками сканирования в AVZ

Области и параметры поиска вирусов в AVZ

Общий вид вкладки Типы файлов в AVZ

Общий вид вкладки Параметры поиска в AVZ

Включаем лечение файлов в AVZ

Включаем дополнительные действия при проверке в AVZ

Кнопка запуска сканирования в AVZ

Завершение сканирования файлов в AVZ

Кнопка отображения найденных угроз при проверке в AVZ

Список подозрительных файлов в AVZ

Системные функции

Исследование системы

Восстановление системы

Скрипты

Обновление базы

Просмотр содержимого папок карантина и Infected

Нажав на данные строки в перечне опций, вы сможете просмотреть все потенциально опасные файлы, которые обнаружила AVZ в процессе сканирования вашей системы.

В открывшихся окнах можно будет окончательно удалить подобные файлы либо восстановить их, если они на самом деле не представляют угрозы.

Обратите внимание, для того, чтобы подозрительные файлы помещались в данные папки, необходимо поставить соответствующие галочки в настройках сканирования системы.

Сохранение и загрузка настроек AVZ

Выход

Помимо описанных опций, в перечне есть также и другие, но они, скорее всего, не понадобятся обычным пользователям. Поэтому заострять внимание на них мы не стали. Если вам все же понадобится помощь по вопросам использования не описанных функций, пишите об этом в комментариях. А мы двигаемся далее.

Список сервисов

Диспетчер процессов

Диспетчер служб и драйверов

Это второй по счету сервис в общем списке. Нажав на строку с аналогичным названием, вы откроете окно управления службами и драйверами. Переключаться между ними можно с помощью специального переключателя.

В этом же окне к каждому пункту прилагается описание самой службы, статус (включена или выключена), а также месторасположение исполняемого файла.

Вы можете выбрать необходимый пункт, после чего вам будут доступны опции включения, отключения или полного удаления службы/драйвера. Данные кнопки находятся в верхней части рабочей области.

Менеджер автозапуска

Данный сервис позволит вам полностью настроить параметры автозапуска. Причем, в отличие от стандартных менеджеров, данный перечень включает в себя и системные модули. Нажав на строку с аналогичным названием, вы увидите следующее.

Для того, чтобы отключить выбранный элемент, вам нужно лишь убрать галочку рядом с его названием. Кроме того, есть возможность и вовсе удалить необходимую запись. Для этого просто выбираем нужную строку и жмем вверху окна на кнопку в виде черного крестика.

Обратите внимание, что удаленное значение вернуть уже не получится. Поэтому будьте крайне внимательными, дабы не стереть жизненно важные системные записи автозагрузки.

Менеджер файла Hosts

Системные утилиты

Список системных утилит в сервисах AVZ

С помощью AVZ можно также запустить наиболее востребованные системные утилиты. Увидеть их перечень можно при условии, если вы наведете указатель мыши на строку с соответствующим названием.

Нажав на название той или иной утилиты, вы запустите ее. После этого сможете внести изменения в реестре (regedit), настроить систему (msconfig) или проверить системные файлы (sfc).

Это все сервисы, о которых мы хотели упомянуть. Начинающим пользователям вряд ли понадобится менеджер протоколов, расширений и прочие дополнительные сервисы. Подобные функции больше подойдут более продвинутым юзерам.

AVZGuard

Обязательно закройте все сторонние приложения перед включением данной функции, так как в противном случае они также попадут в список недоверенного ПО. В дальнейшем работа таких приложений может быть нарушена.

Отключаем AVZGuard

Все программы, которые будут помечены как доверенные, будут защищены от удаления или модификации. А работа недоверенного софта будет приостановлена. Это позволит вам спокойно удалить опасные файлы при помощи стандартного сканирования. После этого вам следует обратно отключить AVZGuard. Для этого снова жмем на аналогичную строку вверху окна программы, после чего жмем на кнопку отключения функции.

AVZPM

Указанная в названии технология будет мониторить все запускаемые, останавливаемые и модифицированные процессы/драйверы. Для ее использования необходимо сперва включить соответствующий сервис.

Обращаем ваше внимание, что кнопки AVZGuard и AVZPM могут быть серыми и неактивными. Это значит, что у вас установлена операционная система x64. На ОС с данной разрядностью упомянутые утилиты к сожалению, не работают.

На этом данная статья подошла к своему логическому завершению. Мы попытались рассказать вам о том, как использовать самые популярные функции в AVZ. Если у вас остались вопросы после прочтения данного урока, можете задавать их в комментариях к данной записи. Мы с удовольствием уделим внимание каждому вопросу и попытаемся дать максимально развернутый ответ.

Закрыть

Мы рады, что смогли помочь Вам в решении проблемы.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Закрыть

Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Читайте также: