Не поклонитсяСообщение от sirius
Причина проста - чтобы запустить такой AVZ, который вылезет поверх окна локера нужно сначала залезть под окно локера и выполнить этот запуск ... и получается заколдованный замкнутый круг (на самом деле если AVZ запускается, то куда проще сделать батник для запуска его со скриптом, который все закарантинит и поубивает). Я конечно введу такой ключик, мне не жалко - но значимого эффекта это не даст
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
так чтоб скрипт сделать надо сначала лог получить )))то куда проще сделать батник для запуска его со скриптом
AVZ с LiveCD для борьбы с последними блокерами - милое дело!
Смысла держать на рабочем столе ярлык для запуска AVZ в PE-системе большого нет, хотя многие и предусматривают добавление в контекстное меню PE-проводника "Запуск с удалённым реестром". Лучше сразу прописать в ярлыке такой запуск, у меня он выполняется avz4remote.cmd:Насчёт приоритетов: можно ли как из командной строки прописать AVZ в автозагрузку, причём с включенным AVZGuard? Думается, это позволило бы ускорить борьбу со зловредами-блокерами.Код:start RunScanner.exe /y /s /t 0 avz.exe
В тему или нет - но пусть модер переместит, если что, куда надо.
Учитывая участившиеся случаи "советов" на оффоруме Касперского, обращаю внимание на то, что выполнение скриптов без предварительных логов - весьма опасная операция. Если её Вам рекомендует хелпер - он осознаёт риск и понимает, зачем на него идёт, если рекомендует кто-либо ещё, то нужно отказаться от такой помощи.
Кроме того, выполнение советов неизвестных личностей полностью нарушает всю стратегию лечения системы и может привести к полной её неработоспособности. В этих случаях команда хелперов не несёт никакой ответственности за последствия.
http://virusinfo.info/showthread.php?t=63177 - как бы показательно))
The worst foe lies within the self...
AG=Y есть такой параметр.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Зайцев Олег,
Universal Virus Sniffer v2.80 - пример реализации режима чистого рабочего стола:окно запуска отображается на чистом рабочем столе как и сам uVS.
(для борьбы с нек. троянами создающими окна верхнего уровня)
И как запустить этот "пример реализации", если рабочий стол уже блокирован ? Беда в том, что в режиме длокировки юзе ничего не может запустить - если мог бы, то тот же AVZ отлично работает без GUI - скриптом он может собирать логи, карантины, лечить - все на автомате.
Зайцев Олег, дак понятно, что если "паралич" полный, и юзер лишается даже доступа к командной строке, поможет только запуск AVZ для неактивной системы c LiveCD.
Но если зловред перекрывает рабочий стол своим окном не сразу при старте системы, если частично возможности запуска программ сохраняются, функция "Поверх всех окон" пригодилась бы для комфортной работы в GUI AVZ. В том же uVS в меню "Дополнительно" есть и горячие клавиши (F8, F9), вызывающие функции: "Поднять/опустить главное окно", "Скрыть все перекрывающие окна и опознать их владельцев".
Вообще неужели нельзя закриптовать имена ресурсов, убрать иконку, название окна - все признаки, по которым блокируется AVZ? В последних вариантах вымогателей упор именно на него. Практически всегда запускается HJT, блок идёт на Gmer, AVZ, OSAM, ComboFix, MBAM. Хотя самое забавное, что некоторые версии допускают Gmer и HJT, но напрочь блочат AVZ - боятся, видимо
Возможно, пришло время перехода с Delphi на ASM?
всё время натыкаюсь на противоречивые мнения
1-avz с Winpe бесполезно запускать, он сканит активную систему, что является Winpe
2-очень хочется услышать разьяснения автораAVZ с LiveCD для борьбы с последними блокерами - милое дело!
что и как работать с Winpe
sirius
1. AVZ с WinPE запускать полезно с рансканером для удалённой (неактивной системы) системы. А бесполезен он в WinPE для сбора информации об активном заражении, т.к. "вредные" процессы не запущены.
2. Милое дело из WinPE исследовать файлы и реестр удалённой системы, восстанавливать систему, снимать ограничения пользователя.
Образно: вы заходите в дом, в который вторглись непрошеные гости с нехорошими намерениями. Все спят, сразу вы не знаете, кто есть кто. Но мешать вам разобраться в этом уже никто не будет.
Затем - после восстановления необходимых настроек, удаления ограничений - уже можно проводить долечивание в нормальной среде.
А насчет работы AVZ в WinPE Олега давно хотелось бы услышать многим.
sirius, прочтите предыдущую страницу, там все описано
Все просто:
1. Если применять AVZ как сигнатурный сканер, то нет разницы - зверей он будет искать отлично. Равно как AVPTool, у которого сканирующий движек круче ввиду того, что по сути это полноценный сканер от KAV
2. Если вести речь от реестре, то AVZ будет реестр WinPE (т.е. того, с чего мы загрузились), а не пролечиваемой системы. И как следствие, не почистит хвосты, не покажет полезных данных, не соберет правильные логи. Тут два пути:
2.1 Не делать этого, так как бессмысленно
2.2 Применить RunScanner - см. пост VV2006 чуть выше
В любом случае включать антируткит в WinPE бессмысленно, равно как нет смысла применять BootCleaner, AVZPM и искатель кейлоггеров
Родной - taskmgr.exe вроде.
I am not young enough to know everything...
Ну а насчет маскировки более тщательной что думаете? Чтобы хотя бы блокеры, которые не полностью (баннер в центре экрана, но не на весь экран) и не сразу лочат (при определенных условиях) систему вычистить. Очень нужная функция!
Хм. И верно. А чего тогда его не восстанавливает?
Все же вариант есть. Грузиться с любого LiveCD и копировать AVZ в папку Startupa'a или копировать AVZ в любое место, а в Startup закидывать батник для запуска AVZ в ключами WS_MAXIMIZE & WS_EX_TOPMOST. Соответственно, при следующей загрузке системы, AVZ перекроет локер.
Последний раз редактировалось Arakcheev; 15.01.2010 в 14:18.
А можно ли полюбопытствовать текст такого батника?
А откуда уверенность что локер не запущен таким же образом, да еще может и по таймеру такое делает со своим окном?для запуска AVZ в ключами WS_MAXIMIZE & WS_EX_TOPMOST
Ваши права в разделе
