Перейти к содержанию

Recommended Posts

Danilka

kvit

У Dr.Web аналог KRD - Live CD.

sda, нет.

Неверная информация.

AVP Tool используется для лечения активного заражения локеров на LiveCD. Зачищение хвостов происходит ручками, т.е. скриптами хелперов.

Я знаю, что написано на ВИ, но на оф. форуме ЛК мы используем данную схему: http://forum.kaspersky.com/index.php?showtopic=148547 Она проще и удобней для пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Чем сканер на KRD - загрузочного диска отличается от сканера AVP Tool? То же самое, только хвосты от локеров, как у вас, так и у нас очищаются ручками, т.е. скриптами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

sda

Тем, что имеются у продуктов на Live CD проблемы с эмулятором и проблемы с работой в реестре хостовой ОС-> различия понятны теперь? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
что нужно делать, чтобы избежать заражения

Спасибо Сергею за корректное наведение порядка.

Прошу форумчан поделиться своими самыми простыми или даже сложными методами по этому вопросу, но без прений и препирательств вендорских сторон.

- Я "своим" всегда ставлю AV/IS и один из проверенных чистильщиков (можно уже не раз прозвучавший на АМ CCleaner в слим-версии) со своими настройками. За много лет заметил, что когда пользователи соблюдают рекомендацию по чистке после пользования Инетом и перед самым выключением ПК, то многих зловредов на ПК можно избежать и вышеперечисленных локов не наблюдается. Для любых пользователей проделать такую операцию - пара пустяков. Только самые растяпистые забывают это делать, а потом тупо пялются на окна локов и отправляют sms.

- Ещё, если есть в продукте защиты возможность ранней загрузки и она включена, то это очень помогает. Посмотришь в Карантин и увидишь много интересного в изолированном виде. Хороший винлок - дохлый винлок. :)

А что есть рассказать у вас?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Прошу форумчан поделиться своими самыми простыми или даже сложными методами по этому вопросу, но без прений и препирательств вендорских сторон.

1. http://www.kaspersky.ru/support/kis2010/ap...l?qid=208637578

2. http://support.kaspersky.ru/faq/?qid=208636376

3. http://support.kaspersky.ru/faq/?qid=208636628

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hiss

Лагерь Лаборатории, не ругайте других за пиар, ваша компания делала то же самое, точь в точь. Но в обсуждаемом случае больше заразившихся и реальнее угроза.

Тем, что имеются у продуктов на Live CD проблемы с эмулятором и проблемы с работой в реестре хостовой ОС-> различия понятны теперь? :)

Плохо. Бесплатные программы могут работать с реестром неактивной системы, а ваш диск не умеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Hiss

Почему это "ваш"? А чей умеет? RD делают в основном на Линуксе, а там в принципе проблема подцепить хостовую ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hiss
Hiss

Почему это "ваш"? А чей умеет? RD делают в основном на Линуксе, а там в принципе проблема подцепить хостовую ОС.

Хостовую ОС ИМХО и цеплять не нужно, достаточно подцепить файлы реестра. Или это невозможно?

Плохо если RD может удалить вирус, но не может убрать его следы в реестре. Если с вирусом винда кое-как работала, то после такого лечения может упасть.

Никаких предупреждений о таких последствиях RD не показывает и не говорит что следы в реестре чистить не умеет.

С Майкрософт никак не договориться об использовании WinPE?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Хостовую ОС ИМХО и цеплять не нужно, достаточно подцепить файлы реестра. Или это невозможно?

Еще как возможно и это уже готово, не знаю встроили ли это в RD.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

sww

Слав, мы не только про наш диск, но и про аналог от Dr.Web. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hiss
Еще как возможно и это уже готово, не знаю встроили ли это в RD.

Технических ограничений ИМХО нет.

В RD WKS и KIS такой функции еще нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Winny
Еще как возможно и это уже готово, не знаю встроили ли это в RD.

1. Что будет, если на диске несколько OS?

2. Что будет, если есть несколько пользователей, а вирь прописался в HKCU?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Слав, мы не только про наш диск, но и про аналог от Dr.Web. :)

Про их RD я вообще ничего не знаю :)

1. Что будет, если на диске несколько OS?

2. Что будет, если есть несколько пользователей, а вирь прописался в HKCU?

1. Не проблема при грамотном подходе.

2. Не проблема. HKCU - это всего-лишь пользовательский hive, который лежит в известном месте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Hiss

Когда я тестировал RD, дела были такие:

1. В релизе не будет подхвата реестра

2. Запланирована возможность была на 8.8.2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorTT3

Umnik, поясните плиз

цитата с указанной страницы

"...

*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell

*\SOFTWARE\Microsoft\Windows NT\Current Version\Windows\AppInit_DLLs

*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit

*\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options\*

..."

Эта рекомендация означает, что

- после установки KIS2010 не проверяет обращение к указанным ключам (правил еще нет)?

- при последующих обновлениях KIS2010 эти правила не будут добавлены (правил нет и не будет)?

- правила будут создаваться при установке будущей сборки KIS2010?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell

*\SOFTWARE\Microsoft\Windows NT\Current Version\Windows\AppInit_DLLs

*\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit

Правила есть изначально, но слабоограниченным можно вносить изменения.

*\SOFTWARE\Microsoft\Windows NT\Current Version\Image File Execution Options\*

Правило не совсем такое, но есть. Мое более строгое.

http://www.anti-malware.ru/node/2179

Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки

Господа, а вот к примеру LiveCD от "Доктора Веба" помогает от этой нечисти?

А то вот хочу скачать, записать. Просто так на всякий пожарный случай.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk

Господа, а вот к примеру LiveCD от "Доктора Веба" помогает от этой нечисти?

А то вот хочу скачать, записать. Просто так на всякий пожарный случай.

Да, как один из вариантов решения проблемы.

Сначала подбираем код по базе (или этой), а потом лечим этим продуктом. Только жаль, что его никак не починят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
Сначала подбираем код по базе (или этой), а потом лечим этим продуктом. Только жаль, что его никак не починят.

Хм, у простого пользователя, привыкшего только пользоваться компьютером... ему остается только разве что отправить СМС :D или вызвать специалиста. Согласен с Валерием, мне со стороны, уже много "больных" подобных видно было, думаю в реальности, статистика подобной заразы весьма впечатляющая, и наверное гораздо больше, чем многие вирусы вызывавшие серьезные эпидемии (причем наверное вместе взятых)... Тоже повторюсь, Доктор Вебовцы - молодцы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
Сначала подбираем код по базе (или этой), а потом лечим этим продуктом.

zzkk

Да знаю я про эти разблокировщики. Только вот если у юзера Винда заблокирована, то это ему не поможет.

Я хочу чтобы имелся диск, с которого можно загрузиться, снести заразу, а потом включить комп обычным способом и работать как прежде.

Только жаль, что его никак не починят.
Непорядок однако. А может быть еще где-либо имеется возможность скачать подобную "штуковину"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Непорядок однако. А может быть еще где-либо имеется возможность скачать подобную "штуковину"?

По сообщениям с форума понял, что проблема с мышкой не решается уже много-много дней... Можно попробовать Kaspersky Live CD собрать:

rescuecd.part1 - http://slil.ru/28785452

rescuecd.part2 - http://slil.ru/28785475

rescuecd.part3 - http://slil.ru/28785483

Базы от 12.03.10 9:12

Да знаю я про эти разблокировщики. Только вот если у юзера Винда заблокирована, то это ему не поможет.

Я хочу чтобы имелся диск, с которого можно загрузиться, снести заразу, а потом включить комп обычным способом и работать как прежде.

Точно не знаю, но интуиция подсказывает, что сначала лучше таки код подобрать, дабы не остаться с вычищенной, но утратившей работоспособность, виндой. В том смысле, что простой юзер не сможет ее (эту работоспособность) восстановить самостоятельно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
По сообщениям с форума понял, что проблема с мышкой не решается уже много-много дней...
Не знаю. Из продуктов "Доктора Веба" только CureIt иногда раньше использовал, поэтому насчет остального не скажу ни плохого ни хорошего
Можно попробовать Kaspersky Live CD собрать
снова Kaspersky... (гы-гы-гы)

Попробую.

Точно не знаю, но интуиция подсказывает, что сначала лучше таки код подобрать, дабы не остаться с вычищенной, но утратившей работоспособность, виндой.
Ну код то как попробовать, когда Винда у юзера заблокирована и другого компа под руками нет???

А как это, цитирую Вас:

"остаться с вычищенной, но утратившей работоспособность, виндой"©?

Я по своей наивности думал что можно с LiveCD загрузиться, произвести действия по удалению заразы, вытащить диск, и загрузившись обычным способом продолжать работать.

Объясните пожалуйста подробней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
А как это, цитирую Вас:

"остаться с вычищенной, но утратившей работоспособность, виндой"©?

Я по своей наивности думал что можно с LiveCD загрузиться, произвести действия по удалению заразы, вытащить диск, и загрузившись обычным способом продолжать работать.

Объясните пожалуйста подробней.

Так особо злостные экземпляры Winlock'a блокируют все, что только могут: безопасный режим, диспетчер задач, ломают сетевые настройки... мало ли еще чего....

А при вводе кода, работоспособность, по идее, должна восстанавливаться... хотя б и на время... т. е. до следующего попрошайничества (если не полечиться вовремя, конечно)

По идее, "антималварь" (собирательный образ) должен не только почистить, но и починить, но справится ли? Не знаю. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
Так особо злостные экземпляры Winlock'a блокируют все, что только могут: безопасный режим, диспетчер задач, ломают сетевые настройки... мало ли еще чего....

то есть если юзер попробует восстановление системы, то это тоже не поможет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
то есть если юзер попробует восстановление системы, то это тоже не поможет?

Точками восстановления никогда не пользовался, ибо мало эффективно по сравнению с др. методами. Зато активно пользуюсь программами снятия/восстановления бэкапа с системного диска (Acronis True Image, например). Три-семь минут и система возвращается в нужное Вам состояние. Представьте, сколько можно экономить времени на нерешении системных глюков операционки, нового софта, за пару тройку минут избавляться от малвары со 100% результатом в 100% случаях и пр., пр., пр.

В инете создано много тем о том, как "лечиться" от Winlock'a, но мало где упоминается и, я бы даже усилил тезис - пропагандируется, как незаразиться:

1. Не пользоваться IE.

2. Не соглашаться на предложения сайта установить новый флеш-плеер или что-либо угодно еще.

3. Отключить кукисы и разрешать их только избранным сайтам-исключениям.

4. (дополняйте, пожалуйста, чувствую, что что-то забыл)

Вот это действительно действенные советы для простого юзера. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×