返回列表 发帖
Wesly.Zhang

昵称: 蚊子叫兽~

级别:版主

Rank: 70Rank: 70Rank: 70Rank: 70Rank: 70Rank: 70

UID
3835 
帖子
16312 
精华
积分
6552 
技术值
48  
卡币值
29452  
注册时间
2007-9-14 
最后登录
2012-5-22 

卡巴·模范版主卡巴·铁杆会员卡巴·技术能手卡巴·贺岁勋章
1 跳转到 » 倒序看帖
打印
tT
发表于 2009-8-21 20:19 | 只看该作者
您好,尊敬的游客,您是第43843个浏览者

[教程] 如何导出AVZ报告以及GSI报告以及ComboFix报告

GSI, AVZ
本帖最后由 Wesly.Zhang 于 2011-7-14 20:36 编辑

特别声明:在使用AVZ工具生成AVZ报告前,请退出360安全卫士以及奇虎360公司的全部软件,这些软件包括:360安全卫士、360保险箱等软件。目前360安全卫士的实时保护会将AVZ工具释放出来的驱动C:\WINDOWS\system32\Drivers\utixodm4.sys误报为Trojan/Win32.KillAV.avn。为了使AVZ工具能够正常的工作,执行相关的任务,我们建议您退出所有安全辅助软件后在启动AVZ工具生成报告!


一. 创建一个AVZ系统信息报告:

AVZ报告的意义:AVZ系统信息日志工具是用来收集系统的相关信息(诸如正在运行的进程、加载的模块和随系统启动的文件)和把这些信息转换成一个日志文件。这个日志文件可以被我们恶意软件分析专家以及轮流帮助我们诊断与清除感染的版主分析。


如果你有一个被卡巴斯基不能检测到的恶意软件或者无法清除的恶意软件感染的问题,对于一个版主来说,您提供一份AVZ日志是必要的,请按照如下指示来创建它。

为了能够创建信息文件,请首先下载AVZ工具软件,在这里或者这里下载。请保存这个软件到你的“桌面”或者“我的文档”文件夹。(推荐保存到C:\WINDOWS\SYSTEM32文件夹下,防止恶意软件删除软件)

之后,请解压这个压缩包内的文件夹"AVZ"到一个新的目录内。当然首先你需要有解压软件,如WinRAR或者WinZIP。

当解压到文件夹完成后,请通过左键双击运行AVZ.exe这个文件或者右击这个文件选择打开
如果你是在Windows Vista、Windows 7运行AVZ.exe,请右击该文件选择“作为管理员运行”。

您有以下几种方法创建AVZ报告,请注意对照要求生成报告:

如果您没有安装卡巴斯基2012、2011、2009、2010系列软件或已安装卡巴斯基2010 CF1 463版本

注意:由于卡巴斯基2010 463系列所生成的AVZ报告存在显示缺陷,故不建议上传软件直接生成的AVZ报告。而是使用以下方法导出AVZ报告。以方便我们版主以及助理快速排查分析。

方法一(推荐):

你现在需要看AVZ工具的主窗口。请浏览File->Custom Scripts下拉菜单,通过CTRL+C键盘组合键复制所要运行的脚本或者选中带复制脚本右击选择“复制”。
  1. begin
  2. ExecuteAVUpdate;
  3. ExecuteStdScr(3);
  4. RebootWindows(true);
  5. end.
复制代码
粘贴以上到运行窗口,通过CTRL+V键盘组合键,或者在窗口中右击选择“Paste”。单击运行来运行该脚本,运行后系统将会重新启动。重新启动后一份LOG将会在AVZ目录内被创建,这份文件叫做“virusinfo_syscure.zip”。把这份文件作为附件上传到帖子里。



方法二:

运行AVZ.exe,单击“File”下拉菜单选择“System Analysis”,确认里面所有的勾都打上了,同时再勾选 "Attach System Analysis log to ZIP"(就是唯一一个没有勾上的那个选项啦),完成后,选择“Start”,然后保存到桌面,将这个“avz_sysinfo.zip”发送到论坛上来。

具体设置可以按图设置



如果使用者已经安装了卡巴斯基2012、2011、2009、2010系列软件或者已安装卡巴斯基2010 CF2 736版本

1,打开应用程序主窗口
2,在窗口底部左侧点击“支持”链接
3,在弹出的窗口点击底部的“支持工具”链接
4,在下一个弹出的窗口点击“创建系统状态报告”链接

创建的系统状态链接是以html 和xml 格式保存在压缩包sysinfo.zip中的。一旦收集信息过程结束,您可以查看报告。

该文件位于如下本地路径内将文件上传到论坛即可:C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9(卡巴斯基2009的,此处为AVP8;卡巴斯基2010的,此处为AVP9、卡巴斯基2011的,此处为AVP10)\AVZ\sysinfo.zip。
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
3

评分人数

    • slayer: 技术值 + 20
    • 柚子: 原创主题,技术贡献奖励,期待发布更多主题 ...技术值 + 2
    • 89100062: 精品文章,感谢您对卡巴斯基的支持! ...卡币值 + 30
收藏 分享 微博
I am not working for Kaspersky Lab. So I can not be guaranteed 7 * 24 hours online. If you want to contact KL offical support department, Please send e-mail or visit Helpdesk website to make requisition to them. Let them know what problem or doubt you have encountered.

如果我没有及时跟进您的帖子,请PM我,并写上您帖子的连接地址!或者联系我QQ或者微博

如何导出GSI(3楼)、AVZ(1楼)等报告及运行AVZ脚本(2楼)

Wesly.Zhang

昵称: 蚊子叫兽~

级别:版主

Rank: 70Rank: 70Rank: 70Rank: 70Rank: 70Rank: 70

UID
3835 
帖子
16312 
精华
积分
6552 
技术值
48  
卡币值
29452  
注册时间
2007-9-14 
最后登录
2012-5-22 

卡巴·模范版主卡巴·铁杆会员卡巴·技术能手卡巴·贺岁勋章
2
发表于 2009-8-21 20:28 | 只看该作者
本帖最后由 Wesly.Zhang 于 2010-1-28 10:07 编辑

特别声明:在使用AVZ工具执行AVZ脚本前,请退出360安全卫士以及奇虎360公司的全部软件,这些软件包括:360安全卫士、360保险箱等软件。目前360安全卫士的实时保护会将AVZ工具释放出来的驱动C:\WINDOWS\system32\Drivers\utixodm4.sys误报为Trojan/Win32.KillAV.avn。为了使AVZ工具能够正常的工作,执行AVZ脚本,我们建议您退出所有安全辅助软件后在执行AVZ脚本!


二. 如何运行AVZ Script

1,执行AVZ脚本应该在论坛版主或者助理的指导下进行。
2,不要尝试自行编写/执行脚本或者执行针对他人所写的脚本。
3,如果你需要帮助,你可以新开一个帖子,然后等待版主的回复。

AVZ 脚本可以被用来隔离或者清理感染,你的系统信息文件被论坛版主或者助理分析,他们可能会要求你运行AVZ脚本。当你运行这个脚本后,这个脚本将会一次性运行完成。这可能涉及您的计算机重新启动,在你运行脚本前,为你创建脚本的人将会提醒你这个事实。

方法一:使用卡巴斯基2009、2010系列运行脚本

如果你获得了处理你当前问题的脚本,请选择它,用键盘组合键CTRL+C复制或者在相应的选项通过右键点击复制。

1,打开卡巴斯基应用主程序窗口。
2,在窗口底部点击支持链接。
3,在弹出的窗口点击底部的支持工具链接。
4,在下一个弹出的窗口点击执行AVZ脚本
5,弹出一个AVZ脚本执行框,此时在框内贴入需运行的脚本
6,点击 执行


成功执行脚本后,向导会关闭。如果发生错误,向导将显示相应信息。

方法二:使用AVZ工具运行脚本

如果你获得了处理你当前问题的脚本,请选择它,用键盘组合键CTRL+C复制或者在相应的选项通过右键点击复制。

运行AVZ.exe(你先前已经下载了)并且浏览到File->Custom scripts

此时,请确认保存了所有的工作并且关闭了所有的程序除了卡巴斯基程序本身外。

现在,通过CTRL+V键盘组合键将你所要运行的脚本粘贴进窗口,或者在窗口内右击选择“粘贴

最后,单击“Run”来运行脚本。当脚本在运行过程中时请不要使用你的电脑,请耐心等待直至脚本运行结束或者计算机重新启动。

如何卸载AVZ工具:

运行AVZ.exe,选择“File”——》“Standard Script”——》勾选最后一行“Delete all AVZ driver and registry keys”——》“Excute selected script”,完成后,关闭AVZ程序,然后删除AVZ文件夹即可。
I am not working for Kaspersky Lab. So I can not be guaranteed 7 * 24 hours online. If you want to contact KL offical support department, Please send e-mail or visit Helpdesk website to make requisition to them. Let them know what problem or doubt you have encountered.

如果我没有及时跟进您的帖子,请PM我,并写上您帖子的连接地址!或者联系我QQ或者微博

如何导出GSI(3楼)、AVZ(1楼)等报告及运行AVZ脚本(2楼)

TOP

Wesly.Zhang

昵称: 蚊子叫兽~

级别:版主

Rank: 70Rank: 70Rank: 70Rank: 70Rank: 70Rank: 70

UID
3835 
帖子
16312 
精华
积分
6552 
技术值
48  
卡币值
29452  
注册时间
2007-9-14 
最后登录
2012-5-22 

卡巴·模范版主卡巴·铁杆会员卡巴·技术能手卡巴·贺岁勋章
3
发表于 2009-8-21 20:40 | 只看该作者
本帖最后由 Wesly.Zhang 于 2011-8-15 19:52 编辑

三. 如何导出GetSystemInfo(GSI)报告

在用工具导出报告前,请您关闭QQ、MSN【注意是关闭,不是托盘最小化】,同时尽可能退出“系统时钟”旁边的所有程序,卡巴斯基图标 保留不需要退出。如果在使用该工具时发生卡住在某个地方不前进的,请停止扫描,关闭该工具后,请您新建一个英文的“用户账号”,然后登录此账户账户后启该工具进行扫描并生成报告,待扫描完成后登录回原来的“用户账户”并删除新建的英文“用户账户”(如果您以后不在使用GSI工具导出报告的话)!

1,下载GetSystemInfo工具,将GetSystemInfo.exe下载到c:\windows\system32文件夹内,同时将GetSystemInfo.exe重命名(必须是英文名)运行。XP系统:直接双击运行;Vista与7系统:右击程序文件后选择“作为管理员运行”!

2,运行后出现如下图,按“I Agree”表示同意运行该工具。



3,程序成功运行后如下图所示。



4,单击右上方的“Setting”,后出现如下图所示内容,将左侧的滑动条拉倒最上方,即由“Recommanded”级别调整到“Maximum”级别。如下图所示:



5,设置好后,按下“OK”按钮返回GSI主程序。

6,将主程序中这个项目前的勾去掉“Auto-Analyse the report with GetSystemInfo Parser”,避免扫描完成后自动上传了您的报告。如下图所示。



7,单击主程序中的“Create Report”按钮

8,等待扫描结束

9,单击“确定”按钮,如下图所示,表示报告已经成功生成:



10,将在“桌面”上形成的类似于“GetSystemInfo_<USER>_YYYY_MM_DD.zip”的文件上传到论坛上来。如类似ZIP压缩包“GetSystemInfo_WESLY_Wesly.Zhang_2010_03_18_15_03_36.zip”,若“桌面”仅形成了文件文件的,请将这个文件打包成ZIP文件,非RAR文件后上传。
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
I am not working for Kaspersky Lab. So I can not be guaranteed 7 * 24 hours online. If you want to contact KL offical support department, Please send e-mail or visit Helpdesk website to make requisition to them. Let them know what problem or doubt you have encountered.

如果我没有及时跟进您的帖子,请PM我,并写上您帖子的连接地址!或者联系我QQ或者微博

如何导出GSI(3楼)、AVZ(1楼)等报告及运行AVZ脚本(2楼)

TOP

Wesly.Zhang

昵称: 蚊子叫兽~

级别:版主

Rank: 70Rank: 70Rank: 70Rank: 70Rank: 70Rank: 70

UID
3835 
帖子
16312 
精华
积分
6552 
技术值
48  
卡币值
29452  
注册时间
2007-9-14 
最后登录
2012-5-22 

卡巴·模范版主卡巴·铁杆会员卡巴·技术能手卡巴·贺岁勋章
4
发表于 2010-1-28 13:18 | 只看该作者
本帖最后由 Wesly.Zhang 于 2010-9-4 19:03 编辑

四. 如何生成Combofix(CB)报告?

注意,您只能够根据版主的要求使用该工具,如果没有要求您使用该工具生成报告的情况下,您不要使用该工具生成报告。该软件主要是用来对抗恶意软件并生成检测报告的。此外在您启动Combofix软件前,请关闭退出所有运行的程序,保存正在进行的工作。这类程序为:卡巴斯基软件,360安全卫士、360保险箱等安全软件以及HIPS软件。

1,您可以从这里下载Combofix软件:http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2,将ComboFix.exe改名为123.exe保存到桌面上或者任何文件路径下,如下图所示的ComboFix.exe改名为123.exe;



3,双击运行Combofix软件;



4,双击Combofix软件后在出现如下截图内容;



5,在出现如下截图内容后,请按“”或者“Yes”来确认安装;



6,确认后窗口会显示如下内容,请耐心等待扫描过程,在重新启动计算机前,请不要关闭这个窗口。期间可能您的桌面会消失,在扫描完成后桌面会自动显示出来;



7,扫描过程会经过以下几个扫描过程;







8,以下截图内容表示正在生成Combofix报告,请耐心等待;



9,以下截图内容表示报告已经生成,位于C:\ComboFix.txt;



10,以上截图显示的同时,Combofix报告就会被自动打开;



11,将C:\ComboFix.txt以及C:\qoobox\quarantine文件夹打包上传到论坛。

如何卸载Combofix软件:

1,单击“开始”菜单——》运行——》键入combofix /uninstall或者123 /uninstall

2,删除C:\qoobox这个文件夹。
I am not working for Kaspersky Lab. So I can not be guaranteed 7 * 24 hours online. If you want to contact KL offical support department, Please send e-mail or visit Helpdesk website to make requisition to them. Let them know what problem or doubt you have encountered.

如果我没有及时跟进您的帖子,请PM我,并写上您帖子的连接地址!或者联系我QQ或者微博

如何导出GSI(3楼)、AVZ(1楼)等报告及运行AVZ脚本(2楼)

TOP

返回列表