Много раз возникали проблеммы с восстановлением системы атакованой вирусмами. Тут нашёл много материала, и хотя почти каждый конкретизирован - всетаки есть огромная база ХЕЛП и самое важное поддержка, а это много значит. Может и помоч чем смогу.
Много раз возникали проблеммы с восстановлением системы атакованой вирусмами. Тут нашёл много материала, и хотя почти каждый конкретизирован - всетаки есть огромная база ХЕЛП и самое важное поддержка, а это много значит. Может и помоч чем смогу.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Да, замечала что хэлперы быстро перестраиваются под неопытного пользователяСообщение от anton_dr
2. Идеально!
3. Море. иногда информация разбросана по нескольким темам поэтому огромный плюс - использование меток (если бы их правильно вписывали)
Есть и пожелание, но не касающееся поддержки:
Не хватает мне на форуме одной единственной вещи, чтобы при клике на новые сообщения НЕ отображались темы раздела "Помогите"
Я ведь не хелпер, как и некоторые другие постоянные пользователи, меня больше интересует, что же появилось нового в других разделах. Ходить по каждому разделу или листать страницы новых сообщений на 90% заполненные темами раздела Помогите - очень неудобно
Последний раз редактировалось Юльча; 17.01.2010 в 01:54.
Я думаю, что форум VirusInfo полезный, особенно для слабо подготовленных пользователей.
Как скорая помощь всем страждущим - это весьма и весьма благородная миссия.
Но есть и минусы. Форум превратился в один большой крик "Помогите".
Движение по всем остальным темам - слабое, незначительное.
Поскольку в темах "Помогите" разрешается писать посты только автору крика "Помогите" и хэлперам, то остальным эти темы неинтересны.
Тем более тексты во всех темах "Помогите" всегда одинаковые. "Выполните скрипт № 3, и пришлите нам лог... Щас будем думать... Теперь выполните скрипт такой-то и снова пришлите нам лог... "
- каждый раз под каждого пользователя индивидуально изготовленный хелперами.
То есть это ручной труд, и другими посетителями средство борьбы с вирусом, предложенное для одного пользователя - не может быть автоматически применено к другому пользователю.
И я не вижу в этом ничего хорошего. Способ избран - не универсальный. А хотелось бы унификации подхода.
На форуме не изучаются какие-либо другие, более эффективные или более универсальные действия для борьбы с вирусами, чем применяемые ныне скрипты для утилиты AVZ. Хотя вполне можно предложить более универсальные методы избавления от вирусов.
Не говоря уже о том, что на форуме не видно никаких "программистских сил", которые бы при необходимости изготавливали бы хотя бы простые вспомогательные утилиты - новые инструменты для более эффективной борьбы с вирусами.
"Программистских сил", кроме самого автора программы AVZ. Но и он мало что успевает, в настоящее время, в плане необходимого развития AVZ.
*******************
Вот например, в оправданности какой тактики я укрепил свое мнение, пообщавшись всего несколько дней на данном форуме: (и я собрал себе за пару дней все необходимые инструменты для этого).
К AVZ не прибегал, и не собираюсь в дальнейшем, потому что мне нужен универсальный метод борьбы. Надежный
1. Какой способ восстановления работоспособного состояния компьютера пользователя вызывает наибольшее доверие ?
1. Восстановление "на голову" пострадавшему системному диску - его заблаговременно сделанной, недавней посекторной копии этого логического диска.
Это возможно не всегда, если пользователь не заботился о регулярных посекторных копиях логического диска (делаются Акронисом "True Image")
Вдобавок, если системный диск С был размечен большим по объему, и на него кидали фильмы, музыку, фотографии - то делать посекторную копию такого логического диска - нереально.
2. Копирование на голову "зараженному" системному реестру диска С - его свежей копии, но копии сделанной на тот момент, когда вирус еще не заразил компьютер.
Копировать придется из под LiveCD различных модификаций.
И вот тут - у меня есть претензии к нынешней тактике хелперов.
По умолчанию, почти у всех пользователей стоит настройка "делать контрольную точку восстановления" один раз в сутки. За сколько последних дней на компьютере пользователя имеются контрольные точки - зависит от размера папки
"System Volume Information", выставленной пользователем.
По умолчанию, Microsoft отводит под эту папку до 12 % от размера логического системного диска (почти всегда это будет диск с буквой С)
То есть - в момент, когда пользователь начал жаловаться на вирус - у него на компьютере "валяется" много копий здорового системного реестра. Я посмотрел у себя - и нашел системные реестры аж за 15 последних дней.
Чтобы залезть в папку "System Volume Information", на нее надо назначить права как у того, кто по умолчанию ее владелец. Нужно подсмотреть какие права на папку у "System", и сделать себе такие-же. Будучи администратором, это получится.
Целая коллекция здоровых, незараженных еще системных реестров - будет находиться в папках "Snapshot", вложенных в папку "System Volume Information"
- Осталось решить, за какое число мы хотим взять 5 файлов системного реестра ? Рекомендуется если подменять - то тогда уж одновременно все 5 файлов, те которые для папки "system32\config"
Наша задача найти системный реестр за самое позднее число, пока вируса еще не было прописано в системный реестр.
Если пользователь прислал карантин, и в карантине хелпер нашел файлы-вирусы, то он должен рекомендовать пользователю восстановить контрольную точку на число "предыдущий день" от дня, когда вирус прописал в автозагрузку системного реестра свои записи.
Зная имена файлов вируса, и имея например утилиту, которая быстренько прошерстит мне 15 копий системного реестра, начиная от завирусованного и далее назад, к копии реестра с самой старой датой...
Когда мы из под LiveCD начнем искать самый поздний по дате системный реестр, в котором еще не было например файла spda64.exe - то вот этот реестр и надо будет, из под LiveCD, скопировать на голову завирусованному.
А перед этим завирусованный - на всякий случай - сохранить в другую папку.
Возвращаться к контрольной точке отката "на определенное число" можно и сейчас, из под LiveCD от ERD Commander. Для ERD Commanderа не надо даже никакие права на папку "System Volume Information" переставлять.
Остался один вопрос: за какое число системный реестр нам взять ? Чтобы в нем не был прописан вирус, но при этом желательно не самый древний.
Даже сейчас, не имея утилиты, сравнивающей сразу много копий системного реестра (по одной за каждое число), и генерирующей инкрементальный отчет по типу:
12.01.2010 появился прописанный в автозагрузку файл "safemon.sys"
в ветви реестра такой-то
13.01.2010 - никаких новых файлов, прописанных в автозагрузку, по сравнению с 12-м числом, не обнаружено.
14.01.2010 появился прописанный в автозагрузку файл "spda64.exe"
в ветви реестра такой-то....
*******************
Значит из под LiveCD мы копируем на голову завирусованному реестру - его "здоровую" копию от 13-го числа.
Так вот даже не имея утилиты, создающей инктрементальный отчет, пройдясь сразу по многим реестрам - вполне получается быстро сделать несколько попарных сравнений реестров. Утилитой "Regshot unicode"
Все видно даже в ее отчетах. А если была бы утилита, которая "шерстила" бы сразу список системных реестров, и не надо было бы в ней по отдельности сначала вставлять файл реестра "software", затем "system"...
- то было бы вообще супер !
********************************************
Эта технология может быть дополнена своим, дополнительным способом сохранения системных реестров по расписанию. У меня уже несколько дней, помимо контрольных точек изготавливаемых Windows по умолчанию,
утилита "RegSaver 12_17" раз в сутки копирует 5 файлов системного реестра в назначенную мною папку.
Расчет такой: пока компьютер здоров - у меня будут накапливаться здоровые копии системного реестра (еще и на флэшку их буду сохранять периодически). А когда мой компьютер так заразят, что он станет незапускаемым - то я заберу последнюю, сломанную копию системного реестра - но уже из под LiveCD.
А дальше - ух я эту коллекцию реестров обработаю !На предмет инкрементальных изменений в автозагрузке, по числам.
Получится что и волки сыты, и овцы целы. Хелперы хотели получать в свои руки тело вируса - они будут получать. Пользователи хотели, чтобы их надежно откатили в работоспособное состояние - их откатят в него.
Последний раз редактировалось uuu99950; 17.01.2010 в 03:24.
Замечу, отменная реакция на новые темы объясняется частотой, регулярностью и объёмом пользования сайтом как со стороны рядовых участников, так и управляющих. Именно это определяет полезность ресурса. Правильно выверенная стратегия virusinfo. А про недостатки ..., ну чтож, пообщаемся в рабочем порядке.
На форуме не изучаются какие-либо другие, более эффективные или более универсальные действия для борьбы с вирусами, чем применяемые ныне скрипты для утилиты AVZ. -- Методы изучаются, но для этого нужно перейти в другую категорию - Внешний специалист.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Здорово, что Вы есть. Спасибо Вам огромное. Я не очень сильна в компьютерных делах, но с помощью правил и пояснений к ним, все таки смогла создать три необходимых для лечения файла. Без Вас я и занть не знала, что такое возможно простому смертному. Единственное, сколько я не перечитывала правила, не смогла найти там подробного объяснения того, как же сделать сам список, когда в антивирусной утилите AVZ делаешь добавления по списку тех файлов, что Вы просите.
Есть еще пожелание, чтоб облегчить Ваши страдания, из-за таких junior - ов, как я: сделайте, пожалуйста, поиск по теме.
Я вот вроде подобралась к развязке событий, по отправке нужностей для лечения, но вот загвоздка, не знаю как этот список составить ((( А поэтому и карантин отправить не могу.
Но, все таки, спасибо Вам огромное за то, что Вы просто есть!!!!!
очень полезный форум, за сегодня узнал много интересного
Критиковать легко. Советы бывают иногда полезны. С моей точки зрения критиковать тут нечего. Спасибо огромное, что есть такой сайт и работает на энтузиазме. Мне кажется благодарных вам людей намного больше чем недовольных. Недовольные только сами вирусописаки, которым лень свой зад от табуретки оторвать - таких немного, а вреда от них... какЭтот сайт занимает самое нужное место на передовой военных действий (так это можно назвать) с врагами для нас, наших компьютеров, нашей информацией на них и наших денег. Вы приносите неоценимую помощь многим пользователям, и не только. Мы у Вас черпаем информацию, учимся и учим других. Спасибо вам за всё и за то, что вы есть.
мне понравилась служба 911. Всё четко и понятно.
Но, не помешал бы какой-то модуль в сервисе, что бы обращаться к своему хелперу (типа миничат) за разъяснениями и уточнениями.
имхо
Очень полезный и интересный ресурс! Особенно для неискушенных...
Добавлено через 2 минуты
Присоединяюсь...было бы неплохо...
Последний раз редактировалось мусиль; 26.02.2010 в 10:42. Причина: Добавлено
Там есть возможность послать PM и получить ответ на него. Общение в реальном времени не предумастривалось, так как соотношение заявок к числу хелперов довольно большое.
Эта возможность доступна только Хелперам: если Хелпер захочет о чем-то спросить пользователя в обход заявки, он может это сделать.
Форум очень помогает, особенно в освоении скриптов для avz. Самое главное что мне здесь нравится, нет "воды", ответы короткие и по существу. Скажу честно иногда хотелось бросить все и перустановить винду, но на форуме как ни странно всегда находил ответ с решением. Хотелось бы обратиться к профи, которые отвечают на наши вопросы, может кто нибудь сделает базу скриптов для avz с удобной оболочкой, или хотя бы подскажет как это можно сделать (понимаю вопрос не в тему) было бы вообще супер. Спасибо Вам за то что вы есть.
редактор скриптов Вас не устроит?, http://z-oleg.com/secur/avz/download.php
может кто нибудь сделает базу скриптов для avz с удобной оболочкой, или хотя бы подскажет как это можно сделать (понимаю вопрос не в тему) было бы вообще супер. -- А еще есть ссылки в логах. При навыке и редактора не надо.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
- Главное преимущество этого сервиса в том, что всё понятно не только специалистам-программистам, но и "чайникам с ромашками". Нет множества аббревиатур на английском типа BSOD, SATA, DOS и прочей дребедени(я то это знаю, но не всем это понятно).
- Ещё одно преимущество в том, что я нигде не видел резкостей со стороны хелперов, даже когда посетитель ВООБЩЕ ничего не понимал.
скажу отстой полный в правилах общения пользователей - отвечать на темы заблокировано (беспричинно, я не заблокированный пользователь, а отвечать не могу в темах), далее добавить аватар в моей страничке - не работает..хрень полная а не ресурс..доказательства: пишу ответ в теме народу, реальную помощь предоставляю, т.к. в данном вопросе разбираюсь и имею опыт по заданной теме... ответ мне : Еля, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чьё-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключён администрацией или ожидает активации.
ЭТО НОРМАЛЬНО??? отстой, а не ресурс!
Последний раз редактировалось Еля; 19.03.2010 в 07:03.
особо одарённая
http://virusinfo.info/showthread.php?t=73966
Доктор, я хотела бы прооперировать вон того больного, т.к. в данном вопросе разбираюсь и имею опыт по заданной теме...
http://virusinfo.info/forumdisplay.php?f=46
Помощь в разделе оказывается только нашими специалистами. Вы имеете право писать сообщения только в своей теме.
Последний раз редактировалось Iron Monk; 19.03.2010 в 08:16.
http://virusinfo.info/showthread.php?t=73966
The worst foe lies within the self...
Вот поэтому таким "специалистам" доступ и закрыт, чревато получить подобного рода советы обычному пользователю.
Ну а потом, подобного рода "специалист"начинает "вопить" ..хрень полная а не ресурс.. ну это потому что компьюторного гения не признали
http://club-symantec.ru/forum.php
Ваши права в разделе
