Полагаю, что вряд ли... А в чем причина того, что вы перестали обновляться? Если это нелицензионная Windows, то на полуавтомате вы можете вполне нормально обновляться хотя бы "критическими" обновлениями.Сообщение от RIGEL
PS. Раздел "Помогите!" находится тут: Помогите!
PPS. Кстати, Windows у вас откуда бралась и как именно ставилась?
Последний раз редактировалось aintrust; 15.02.2010 в 15:56.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Но, наверное, с измененным экраном загрузки)
The worst foe lies within the self...
Kuzz, что значит "с измененным экраном загрузки"? У меня что "левый" какой-то ntoskrnl.exe?
aintrust, у меня стоит вот эта сборка:
http://forum.simplix.ks.ua/viewtopic.php?id=15&p=1
от 20.11.2008
Я сторонник мнения, что в таких сложных продуктах, как ОС, лучше без отсебятины и выбрал эту сборку потому, что в ней никакой отсебятины нет. Только официальные обновления Microsoft и драйверы, все это в виде удобного загрузочного диска, включающего в себя WinPE и несколько других полезных вещей за пределами дистрибутива Windows. Словом, лучшее, что мне приходилось встречать. Никогда еще не было замечаний к работе этой сборки ни у меня, ни у многих моих знакомых, у которых она стоит.
Не обновляю её просто потому, что компьютер уже стар для того, чтобы продолжать вьючить на него все новые тюки.. Чтобы легче дышалось ему. Критическое обновление (январское на 8 уязвимостей) поставил и все. А автоматическое обновление работает без ограничений, если его включить.
P.S. Создал тему с логами проверок в "Помогите":
http://virusinfo.info/showthread.php?t=71330
Последний раз редактировалось RIGEL; 15.02.2010 в 17:32.
Может да, может нет, сложно сказать... Нельзя исключить того, что часть компонентов системы (в том числе и ядра) пропатчена.У меня что "левый" какой-то ntoskrnl.exe?
Хорошо, потом отпишитесь сюда о результатах проверки.P.S. Создал тему с логами проверок в "Помогите":
http://virusinfo.info/showthread.php?t=71330
Последний раз редактировалось aintrust; 16.02.2010 в 08:00.
У меня одновременно пара вопросов и предложений. Если какой-нибудь СМСер на весь экран выводит окно и ни в каком режиме не дает загрузиться, то кроме загрузочного диска ведь никаких вариантов по сути нет?
Но! Если не ошибаюсь, активен режим загрузки командной строки. Так вот вопрос - прав ли я? В любом ли случае он активен или его можно как-то тоже заблокировать или отключить?
И, если я прав, собственно, предложение. Сделать консольную версию AVZ, в которой содержался бы самым минимум для устранения программ подобного класса и не только:
- восстановление всех секций автозагрузки (удаление подмены Winlogon'а, диспетчера задач и т.п.) и временный запрет на запуск всех неподписанных (если это можно проверить консольно) или вообще всех не-системных значений автозапуска, которые потом с помощью самой же AVZ чтобы можно было вернуть на место просто установив галочки.
- запись AVZ в качестве загрузчика по умолчанию, на случай если основные системные файлы заражены.
- возможно, еще что-то, сейчас с утра больше ничего не могу придумать
Таким нехитрым образом можно будет устранять случаи заражения ранее неподвластные. Что скажете?
И еще второй вопрос, можно ли организовать GUIшной версии AVZ подключение к реестру зараженной системы и работу с ним? Хотя бы к реестру. И хотя бы самый минимум работы с ним - наподобие того что указан к консольной версии.
djshkiper,
организовать GUIшной версии AVZ подключение к реестру зараженной системы и работу с нимВыше уже обсуждалось, в т.ч. и возможность подмены AVZетом режима ком.строки. Практическая полезность и первого и второго испытана и подтверждается.Код:start RunScanner.exe /sd /y /t 0 avz.exe
Я читал все вышеуказанное. Но предлагаю это встроить в сам AVZ, без сторонних программ типа RunScanner'а.
а какой в том смысл ? Можно конечно встроить в AVZ RunScanner или его аналог + Linux либо PartPE (или наоборот), получить небольшой дистрибуив мегабайт на 150 - только вот для чего ? Админ сам соберет для себе загрузочный диск (и все всякого сомнения сможет поместить туда свежий AVZ и настроить RunScanner), пользователь же это никогда сам делать не будет.
Ну может тогда например сделать официальный плагин для BartPE, а не использовать один из десятка кустарных вариантов? Или полный набор, но возможностей по минимуму, именно антивирусный вариант PE. Драйвера дисковых систем, RunScanner и AVZ. Это вроде в ветке AVZ LiveCD предлагалось/обсуждалось, но теперь там тишина.
RunScanner - стандатный метод, не вижу никакого резона делать еще один его аналог. Плюс стоит подумать - BartPE нельзя распространять, пользователь сам должен генерить себе диск из своей лицензионной системы. А по статистике только 25% обратившихся за помощью могут с первго раза приложить логи и карантины (которые генерируются автоматом) ... как много пользователей смогут и захотят сами создать образ PartPE, поместить туда AVZ и т.п. ?! Человек 15-20 ... и потратить месяц на создание плагина + потом его поддерживать для этого немного смешно (тем более что Boot дисков с разными сборками Windows дикое количество, их делают все кому не лень, у каждой разновидности есть свои поклонники, плюсы и минусы - и нет совершенно никакой стандартизации)
Для подавления же вымогателей есть и тестируется особая технология, предполагающая укладывание спец-версии AVZ в папку автозапуска и перезагрузку (а сделать это можно загрузившись с чего угодно)
Олег, можно подробнее об особой технологии и спец-версии AVZ?
Это полиморфная версия (одним файлом, код (включая критические имена ресурсов, классы окон и т.п.) меняется при каждой сборке, базы зашифрова и встроены прямо в EXE - как следствие он работает одним файлом из любого места на диске. Для подавления вымогателей имеет набор фич (всегда поверх всех окон с контролем этого, запуск на отдельном десктопе, запуск без создания видимого она вообще в полностью автоматическом режиме ...)
А каким образом он будет записываться на запуск в активной системе? Изменяя какие-то системные файлы или другим способом?
Или эта версия себя просто в стандартную папку автозагрузки будет ложить? В таком случае ведь вирус записанный в реестре/службой всегда загрузится раньше и сможет предотвратить запуск любых приложений из других мест автозагрузки, в том числе и из стандартной папки.
Олег, а можно откуда-нибудь скачивать полиморфный AVZ с более-менее актуальными базами? Если сейчас это нельзя, то, может, есть смысл выкладывать его на странице AVZ?
И большая просьба - очень нужен ключ командной строки для автоматического обновления баз.
WBR,
Vadim
http://www.z-oleg.com/secur/avz_doc/scr_demo9.htm
Добавлено через 1 минуту
У некоторых хелперов в подписи есть линки на "свежий" полиморф. И ссылка (как правило) постоянная
Последний раз редактировалось Kuzz; 18.02.2010 в 13:18. Причина: Добавлено
The worst foe lies within the self...
Kuzz, я всегда знал, что RTFM - универсальный способ решения проблем, спасибо за наводку
Добавлено через 9 минут
Оттуда и качаю, но это не очень удобно, с оффсайта было бы проще. К тому же мне пока попадались варианты только с базами на момент выхода 4.32.
Последний раз редактировалось Vvvyg; 18.02.2010 в 13:31. Причина: Добавлено
WBR,
Vadim
Ну вот я обычно выкладываю тут.
The worst foe lies within the self...
Можно выкрутиться через AutoExNT или создание своей службы. Своя служба со случайным именем и полиморфным экзешником предпочтительнее, чтобы активный вымогатель не препятствовал её созданию или запуску.
Kuzz, спасибо, ставлю ссылку в автообновление качалке.
WBR,
Vadim
Скорее бы вышла данная версия AVZ, ибо вымогатели уже задолбали, а коды сгенерированные онлайн-сервисами принципиально не ввожу. Хочу заносить эту заразу в базы, чтобы другие пользователи избегали подобных мучений, как то - загрузочные диски, спецрежимы, подключение реестра и т.п.
Ваши права в разделе
