Перейти к содержанию

Recommended Posts

omnilynx13
зловред(не обязательно вирус) сидит в обычной автозагрузке и раздражает людей.

эээ я не совсем понял, вот что ты хотел сказать этим предложением. любая хрень - из автозапуска, особенно если это зловред (вирус, троян, и прочее) убивается и в этом главный (но не единственный функционал) uVS.

Зачем, например, качать HijackThis, если можно бы было обойтись одним uVS?

ты будешь смеяться, но я таки и обхожусь.

Лично я за повышение функционала

Так кто ж против-то? вопрос в том что это за функционал? Дублирование, "награждение" uVS не свойственными функционалом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Тема Автозагрузки всё таки имеет прямое отношение к uVS и зачем писать по данному вопросу на территории тропического АТОЛЛА БИКИНИ не совсем понятно.

т.е. Сначала расстрел потом суд ?

1) Программа может иметь ДЛЯ НАС статус потенциального зловреда.

Например, речь идёт о новой неизвестной программе или о её новой версии.

И вот тогда можно её временно отключить удалив одну единственную ссылку - из автозагрузки.

Что позволит потенциально сохранить работоспособность.

И если после перезагрузки окажется, что жить стало лучше - жить стало веселее !

Вот тогда, можно программку и к стенке поставить - Выписав ей высшею меру пресечения.

т.е. Речь идёт о гуманной последовательности/этапности - действий/скриптов.

А, если она НЕВИНОВАТАЯ - то иметь возможность вернуть пряжку на место.

Может, человек за неё денежку платил. ( понимаю, что в России весь софт бесплатен )

Но всё таки, удивительные случаи и чудеса оплаты порой ещё встречаются в хмурых Брянских лесах ...

Так, что предложенный функционал вполне укладывается в концепцию uVS.

P.S. Добрее нужно быть !

"Добрый урожай; добрый конь; добрая погода"

Да...

Человек, добрым быть не может...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13
Тема Автозагрузки всё таки имеет прямое отношение к uVS

:facepalm:

скажу по секрету, что подфорум называется Universal Virus Sniffer (uVS) - развитие, использование и решение проблем. только "тема автозагрузки" в том ключе как вы её поднимаете и обсуждает, выглядит жутким оффтопом особенно в теме "Новые функции в Universal Virus Sniffer (uVS)"

1) Программа может иметь ДЛЯ НАС статус потенциального зловреда.

и? она попала в подозрительные, а дальше всё по отработанной схеме. Не знаю как вы, а я очень просто, поочерёдно: VirusTotal.com; SystemExplorer.net; virusscan.jotti.org (мне хватает первых двух). И всё, дальше принимаем решение, ZOO, лишение статуса исполняемого и много чего ещё интересного.

И вот тогда можно её временно отключить удалив одну единственную ссылку - из автозагрузки.

Что позволит потенциально сохранить работоспособность. И если после перезагрузки

Есть моё скромное мнение, что после вот такого вмешательства. можно получить ещё большую проблему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada
после вот такого вмешательства. можно получить ещё большую проблему

какую это? мы всего навсего убираем ее из автозагрузки

не пойму чего вы так взъелись из-за этой функции. можно сказать что программа просто объединит в себе функции хайДжека

Т.к. "uVS - обнаружение и уничтожение неизвестных вирусов/руткитов"

и все, на этом остановимся? функционал повышать не надо?

хотелось бы чтобы автор ответил что он думает на этот счет - он сам занимается лечением систем по нескольку раз на день и я уверен что обычную автозагрузку он тоже смотрит (с помощью того же хайджека, msconfig, авторана, стартера и т.д.) и чистит. так вот, зачем еще юзать сторонний софт для

этого если можно обойтись одной родной утилитой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
можно сказать что программа просто объединит в себе функции хайДжека

Такое уже было на форуме ВирусИнфо, когда cureit и AVZ отлично справлялись с леченим заражений, однако администрация приняла недальновидное решение объединить AVZ и cureit в одном флаконе: AVPtool, в итоге собственно AVZ не получил должного развития, а разработчик переключился на интеграцию возможностей AVZ в новый продукт, который начал страдать избыточным весом из-за антивирусных баз сканера. В итоге, не получил должного применения, поскольку скачивание полусотни мегабайт ради применения улучшенных возможностей AVZ внутри нового инструмента - спорное решение. К тому же следует учитывать позицию самого автора программы по поводу программирования функционала, который уже реализован каким-то образом в других программах.

и все, на этом остановимся? функционал повышать не надо?

А вот чтобы повышать функционал программы следует изучать поведение актуальных зловредов, хотя бы на уровне тестирования. изучать вносимые изменения им в ключи реестра, сетевой активности и прочее. И здесь без других программ, которые умеют это делать не обойтись.

К прмеру:

Антисплайсинг в uVS был разработан и развит после изучения троянов (chkntfs), использующих функцию сплайсинга, fixmbr, fixvbr появились в период всплеска MBRLock. Так что к резкому увеличению активности Carberp эти технологии подоспели вовремя. На заражение userinit.exe, taskmgr.exe вовремя пришла технология восстановления удаленных известных из библиотеки STORE и загрузочного Live.CD. (A RP55 волнует, как ему Punto безболезненно исключить из автозапуска одним кликом, а вторым обратно включить.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada
администрация приняла недальновидное решение объединить AVZ и cureit в одном флаконе: AVPtool, в итоге собственно AVZ не получил должного развития, а разработчик переключился на интеграцию возможностей AVZ в новый продукт, который начал страдать избыточным весом из-за антивирусных баз сканера

ну это уже путаница горячего и зеленого. никто не собирается сюда пихать антивирусные базы и ожидать от программы полного автоматизма - прикрутить фишку о которой говорится выше - не сложно и на размере программы это практически никак не отразится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13
какую это? мы всего навсего убираем ее из автозагрузки

От простого нового запуска, до попытки маскировки и активного противодействия. В моём случае просто переименовывался и запустился.

А вот чтобы повышать функционал программы следует изучать поведение актуальных зловредов, хотя бы на уровне тестирования. изучать вносимые изменения им в ключи реестра, сетевой активности и прочее. И здесь без других программ, которые умеют это делать не обойтись.

К прмеру:

Антисплайсинг в uVS был разработан и развит после изучения троянов (chkntfs), использующих функцию сплайсинга, fixmbr, fixvbr появились в период всплеска MBRLock. Так что к резкому увеличению активности Carberp эти технологии подоспели вовремя. На заражение userinit.exe, taskmgr.exe вовремя пришла технология восстановления удаленных известных из библиотеки STORE и загрузочного Live.CD. (A RP55 волнует, как ему Punto безболезненно исключить из автозапуска одним кликом, а вторым обратно включить.)

+1 и аплодисменты.

Повышать функционал, необходимо, но слепое копирование другого функционала из того же HiJackThis или ещё чего, не приведёт ни к чему хорошему. Нужны и, это моё глубочайшее убеждение, новые уникальные функции из ходящие из практики лечения и вирусной обстановке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Какие новые функции ?

Кто их предлагает ?

Это надстройка над уже имеющимся функционалом !

Кроме того, есть широкий выбор при принятии решения - какую именно команду отдать.

Нет ограничения в выборе - есть, дополнительная возможность !

Ну не будет её...

И сразу жить легче будет ?!

2011_12_21_190515.jpg

post-8956-1324473310_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13
жить легче будет

в том то и суть, что ничего не поменяется. Есть она, нет её - ни тепло, ни холодно. Вопрос нужна ли она тогда?

p.s. И выбор таки да, всё равно будет за Автором.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
прикрутить фишку о которой говорится выше - не сложно и на размере программы это практически никак не отразится.

и как ты это предлагаешь сделать: в случае драйвера, службы, сервисной dll? ведь недостаточно нарисовать рисунок с дополнительным пунктом из меню.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada

как заметил выше PR55.RP55 - это будет не новая функция, а новый пункт - Автозагрузка.

как ты это предлагаешь сделать: в случае драйвера, службы, сервисной dll?

все это программа видит и отображает. я же говорю не про столь гибкую настройку автозапуска как перевод службы в другой режим работы или отключение драйвера. нужен именно дополнительные пункт в меню, а лучше отдельный раздел - просто Автозагрузка, ту которую мы может видеть при msconfig. ничего особого тут делать не нужно - программа и так считывает и отображает все разделы автозагрузки системы, но просто в очень расширенном виде это отображает с невозможностью "мягкого отключения".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13
это будет не новая функция, а новый пункт - Автозагрузка.

А что есть новый пункт? просто строка? а теперь смотрим с точки зрения кода программы.

нужен именно дополнительные пункт в меню, а лучше отдельный раздел - просто Автозагрузка

Так есть же Основной автозапуск :blink: куда ещё один? Дублировать уже внутри uVS :facepalm: или ты имеешь в виду закладку в msconfig, автозагрузка? так опять же зачем? Это уже есть в uVS.

"мягкого отключения"

по-прежнему не понимаю, зачем он нужен. Вирус перезапустится (в лучшем случае) и переименуется, другое всегда можно отключить разными способами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel-iz-Ada
Так есть же Основной автозапуск

Да, почти то, но лично мне не надо видеть в автозапуске всякие системные ехе'шники и dll библиотеки. Хочу вот такой список видеть:

0b0_image-225.png

А не такой:

853_image-224.png

В первом случае я могу просто убрать галочку и программа после ребута перестанет загружаться автоматом, но при этом не потеряет свою работоспособность

Если во втором случае (в uVS) убью все ссылки на файл - программа также перестанет загружаться автоматом, но она сдохнет (в большинстве случаев)

Вирус перезапустится (в лучшем случае) и переименуется

что вы пристали к этим вирусам? часто кому-то помогало отключение с автозагрузки того igfxtray.ехе (случай с Carberp)? не думаю.

другое всегда можно отключить разными способами

ага, с помощью того же хайджека или msconfig :facepalm:

по-прежнему не понимаю, зачем он нужен

чтоб разгрузить автозапуск системы, чтоб комп ожил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13
В первом случае я могу просто убрать галочку и программа после ребута перестанет загружаться автоматом, но при этом не потеряет свою работоспособность

Если во втором случае (в uVS) убью все ссылки на файл - программа также перестанет загружаться автоматом, но она сдохнет (в большинстве случаев)

Логично. т.к. uVS - антивирусная утилита, заточенная под опытного пользователя, который знает что делает. см. Doc.

что вы пристали к этим вирусам? часто кому-то помогало отключение с автозагрузки того igfxtray.ехе (случай с Carberp)? не думаю.

дубль 2. uVS антивирусная утилита, которая не должна выполнять функции утилит, для чистки от мусора. с igfxtray.ехе - отдельный разговор.

чтоб разгрузить автозапуск системы, чтоб комп ожил.

это можно делать утилитами разными и руками, но лучше головой и отключать всё лишнее в настройках программ, совсем необязательно запихивать этот, на мой взгляд, лишний функционал в антивирусную программу, учитывая что наличие этого функционала частично дублируется и не является необходимостью при лечении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Да, почти то, но лично мне не надо видеть в автозапуске всякие системные ехе'шники и dll библиотеки. Хочу вот такой список видеть:

..........

чтоб разгрузить автозапуск системы, чтоб комп ожил.

Лично для кого-то, Арвид, вряд ли будет выпускаться отдельная версия uVS, поэтому нужно думать, как это можно сделать в рамках той концепции программы, которая развивается в течение двух лет и есть на сегодня,

---

Я так понимаю, что тебе хочется временно выключать программы, которые стартуют из HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

---

если и отключать что-то здесь, то лучше это делать из окна инфо, через контекстное меню, где есть ссылка на имя программы, которая запускается из данной ветки.

(опять же с учетом, что

1. оператор знает что делает

2. должна быть возможность включить эту программу обратно по следующему образу автозапуска, потому что в следующий раз эта прога уже не в автозапуске, и может не попасть в образ при нормальных условиях.

)

7aec86e79f94.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Должна быть возможность включить эту программу обратно по следующему образу автозапуска, потому что в следующий раз эта прога уже не в автозапуске, и может не попасть в образ при нормальных условиях.

Может быть...

Но если в системе установлено 30 программ.

Из них только 10 в Автозагрузке

То ведь есть ещё 20 программ которых тоже нет в автозагрузке и что ?

Но их могли запускать...

Если программа/файл были активны - то они будут в "Запускались неявно или в ручную"

И есть команда ADDDIR - и все файлы будут - и даже больше, чем было раньше.

Или по сигнатуре из первого образа можно удалить.

Или из списка установленных программ.

Или создавать резервную запись/файл по реестру - где эти данные будут прописаны. И так можно будет их считать/восстановить.

Или, как я предлагал раннее переименовывать в ".exe.uVS " - правда это только временная мера...

Что касается:

если и отключать что-то здесь, то лучше это делать из окна инфо, через контекстное меню, где есть ссылка на имя программы, которая запускается из данной ветки.

Зачем усложнять систему ?

Ветки известны!

Имя файла известно !

Команду мы же отдаём из контекстного меню файла - соответственно имя есть...

uVS открывает ответствующий стандартный/известный раздел/путь - сравнивает имя файла из контекстного меню из которого отдаётся команда - с именем в Автозагрузке.

И удаляет...

* Другое дело, что идея Santy об удалении из окна инфо. может быть очень хороша в плане тонкой настройки параметров реестра - Одни ссылки можно оставлять, а другие исключать...

Вероятно в рамках скрипта такая "упрощённая" отдача команд по корректировке реестра имеет смысл.

А uVS эти "упрощённые"команды будет интерпретировать при работе с командной строкой/реестром.

И в том числе - это уже касается борьбы с вирусами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

По поводу мягкого выбрасывания из автозапуска:

пользуйтесь для этого специализированным софтом или удалением всех ссылок на файл в uVS (когда это применимо).

Отключение я делать не буду, есть для этого autoruns и прочее.

А делать я не буду потому что:

1. Если что-то отключается то оно п.н. так и останется отключенным навсегда, тогда удаление всех ссылок катит даже вместе с файлом.

2. Если выбрасывается обычнчый exe из автозапуска то удаление ссылок подходит всегда.

3. И самое главное - мне оно не нужно, а вот затраты времени на правильное отключение для всех драйверов, сервисов, фильтров и других видов объектов значительны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
По поводу мягкого выбрасывания из автозапуска:

demkd,

хоть и серьезная тема, но чем ближе Новый год, тем больше желания все таки пошутить. :).

напомнилась пьеса из студенческих времен

Вы можете орать тут хоть до ночи А пленку я давно истратил всю!:)

http://otvet.mail.ru/question/8362691/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1- е Апреля !

День международной солидарности трудящихся !

Фото = Цитаты = Архив

__.jpg

__.jpg

___.jpg

____.zip

post-8956-1333222276_thumb.jpg

post-8956-1333222283.jpg

post-8956-1333222290.jpg

____.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

перлы от наших пользователей :)

----------

Сделайте полный образ автозапуска в uVS.

Сделала, и архив сохранился. Больше ничего нажимать не стала, хотя кнопка "убить все вирусы" очень привлекательна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
omnilynx13
хотя кнопка "убить все вирусы" очень привлекательна.

:D спасибо поднял настроение. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

"Испортил" пару хороших снимков.

Одну посвящаю uVS 376-B

Вторую визуальной ЛОГИКЕ. :D

А, то всё ужасы разные пишу... ( предложения )

В общем, для разнообразия.

Также у кого есть...ВСПОМНИМ о необходимости $ Demkd ! :huh:

RP55__.jpg

RP55.________.jpg

post-8956-1348060606_thumb.jpg

post-8956-1348060619_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
А, то всё ужасы разные пишу... ( предложения )

В общем, для разнообразия.

я думаю даже это не испортит общей атмосферы выпуска версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×