Обсуждения и предложения на тему создания новых лечащих утилит

koscl

Активный пользователь
Сообщения
6
Реакции
0
Баллы
381
Кстати, пробовали ли вы утилиту fixaftervirus?
Я к тому, чтобы в итоге не получился дубль уже существующей утилиты.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
А если я нуб и там у меня тьма записей, которые мне нужныдля работы? Я буду по одной перебирать сам вручную, чтобы проверить, какая из них моя, какая - вирь? А для чего тогда тулза?
если такой нуб, то есть мальчики по вызову. А если чуть прошаренный, то увидев допустим запись адобе активате догадаешся, что это твоя блокировка проверки лицензионности адоба. Если какие-то строчки нужны тебе для работы - например сайты на локалхосте - то опять увидев их ты сообразишь, что это твоё.
задача стоит разблокировать вконтактик или вылечить от всех болезней? Мое мнение такое - не уверен в зловредности - не трогай.
так это тебе и предлагают в отношение тасков.
но искать надо не тjлько по упоминанию hosts
дополняй :).
3.1. Трем запись в реестре только если находим в ней определенные подстроки, время от времени расширяя базу подстрок (на текущий момент - мозилла).
там кроме молзилы (ShipUp) есть целая куча разных маячков, последние версии имеют имя explorer при этом имена довольно быстро меняются, так что это не вариант.
Вспомнил про ещё один способ блокировки сайтов через IPSec policy. Пример можно посмотреть здесь.
вот это ещё не забудьте - вариант решения - отключение политик.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
если такой нуб, то есть мальчики по вызову
допустим нуб и мне предлагается однокнопочная тулза, которая обещает сделать мне хорошо, но делает плохо - мне вызывать мальчика (а лучше девачку, я их больше люблю)?

пример - заработал вконтактик, отвалился какой неть клиент банк. найти его среди кучи записей в бекапе я не могу - это слишком долго. Что мне делать?

в отношение тасков.
в отношении тасков не спорю. как вариант - отсеивать легитим, виря фиксить автоматом, предлагать пофиксить юзерские записи ручками
есть целая куча разных маячков, последние версии имеют имя explorer при этом имена довольно быстро меняются, так что это не вариант.
слишком часто обновлять придется, это муторно
вот это ещё не забудьте - вариант решения - отключение политик.
на серваках особенно)))) Предлагать? и только конкретные политики

в дополнение - восстанавливать права на хостс, чистить темпы, шерстить другие места автозапуска
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
вот это ещё не забудьте - вариант решения - отключение политик
где в реестре шаманить надо? как это решить, если не лезть руками в гуй-интерфейс? я пока это не исследовал просто...

там кроме молзилы (ShipUp) есть целая куча разных маячков, последние версии имеют имя explorer при этом имена довольно быстро меняются, так что это не вариант
по сути я тоже согласен с тем, что тереть нужно все _кроме_ и сделать эту базу (точнее расширить существующую).

Кстати, пробовали ли вы утилиту fixaftervirus?
она безусловно все киляет и трет, а мы пытаемся сделать безопасный инструмент. Плюс уже из автозагрузки трем если через cmd.exe, таски и т.д и т.д, т.е думаю, что у нас выйдет более мощный специализированный инструмент по разблокировке доступа к сайтам.

Итого:
1. Большинство за то, чтобы с хостс делаем так, как выше предложили (если находим строки - бэкапим и обнуляем).
2. С аппинит - нужно тереть все _кроме_. Дополняем, кто что знает! :)
3. Что с маршрутами?
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
и что там искать?
малварь, вестимо))

обоснуйте

пример - заработал вконтактик, отвалился какой неть клиент банк. найти его среди кучи записей в бекапе я не могу - это слишком долго. Что мне делать?
с этим что?

по идее, нужно создавать что то вроде общей базы критериев
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
где в реестре шаманить надо?
примерно тут
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\
А точней
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{7238523c-70fa-11d1-864c-14a300000000}
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
малварь, вестимо))
т.е делать свой антивирус или детектить пару актуальных на сегодняшний день семейств, которые блочат доступ и нам известно где они в автостарте?

во-первых, если надо правда - найдет в бэкапе, во-вторых, значительная часть малвари не дописывает свои записи в конец текущего файла, а переписывает его, так что юзерских записей там уже нет. Тем более, имхо, вы выдумываете какого-то сферического коня в вакууме, что у юзера залочен вконтактик, он качает тулзу, она ему все пишет, все бэкапит и при этом он не может достать мифическую запись из бэкапа. И как-то не встречал в инете ругани в сторону программ, которые тупо трут безусловно весь хостс без бэкапов. А мы пытаемся сделать что-то значительно умнее и то, вы почему-то считаете, что это крайне небезопасно для юзера будет.


примерно тут
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\
А точней
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{7238523c-70fa-11d1-864c-14a300000000}
В каких случаях в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local могут быть легальные записи?
А то если я захардкожу пересоздание этого ключа, то сразу взвоют. Лучше заранее обговорить как себя вести с этим ключом.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
В каких случаях в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local могут быть легальные записи?
А то если я захардкожу пересоздание этого ключа, то сразу взвоют. Лучше заранее обговорить как себя вести с этим ключом.
1) Думаю сделать проверку серверной ОС.
2) Удалять не надо, достачно только отключить политику. В УВС это уже реализовано, можно просто отмонитирить какие изменения в реестре он делает.
3) В теме на которую давал ссылку выше есть скрин, где юзер пытается пинговать сайты. Во всех таких случаях пишет ответ: Общий сбой. Может это можно использовать как признак этого вируса?
4) Может стоит спрятать отключение этих политик в расширенную версию утилиты (для продвинутых).
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
Думаю сделать проверку серверной ОС
в теории можно. хотя нуб не должен сидеть на серверной ОС и жать такие кнопочки... хотя кто его знает)))

2) Удалять не надо, достачно только отключить политику. В УВС это уже реализовано, можно просто отмонитирить какие изменения в реестре он делает.
да, наверное так быстрее всего. чего там надо нажать не подскажите?

Во всех таких случаях пишет ответ: Общий сбой. Может это можно использовать как признак этого вируса?
это сложно будет исследовать имхо. нужны разные ос, тем более, что такой ответ возращается в консоль, а какая ошибка при прямом доступе - х.з.

Может стоит спрятать отключение этих политик в расширенную версию утилиты (для продвинутых).
или 10 красных предупреждающих алертов, лицензионное соглашение и т.д)))
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
или детектить пару актуальных на сегодняшний день семейств
если хотите, чтобы тулза представляла собой что то стоящее, а не очередной "шедевр", коих наляпана уже туева хуча, стоит развивать ее по всем направлениям. Иначе от нее пользы на пару недель, потом будут новые вири и новые алгоритмы, против которых ваша поделка не поможет. Хотя, если вы любите тратить время на бесполезный труд - удачи.

идею с hosts все равно считаю неудачной, т к если она хоть кому то может повредить, то она не чем не лучше того, с чем вы пытаетесь бороться.

с Zekos каким образом будете разбираться? или не будете?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
серверной ОС и жать такие кнопочки... хотя кто его знает)))
нуб за сервером как раз и будет жать такие кнопочки.
да, наверное так быстрее всего. чего там надо нажать не подскажите?
ALT + T - вызов окна твиков. Там твик №26 - Деактивировать активную IPSec политику.
 

грум

Команда форума
Администратор
Сообщения
3,535
Реакции
1,831
Баллы
593
если она хоть кому то может повредить
Сашка тебя вместо билла гейтца надо ставить.Вот бы виндоус работал у всех.Выпустили плохое обновление,компьютерам беда.Всех сразу на биржу труда.:D
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
с Zekos каким образом будете разбираться? или не будете?
Если к тому времени, как закончу кодить то, что сейчас обсуждаем он не прекратит существовать in the wild, то будем думать.

если хотите, чтобы тулза представляла собой что то стоящее, а не очередной "шедевр", коих наляпана уже туева хуча, стоит развивать ее по всем направлениям.
делать малваребайтес-антималваре? мы ведь изначально говорим о том, что делаем разблокировку интернета.

идею с hosts все равно считаю неудачной, т к если она хоть кому то может повредить, то она не чем не лучше того, с чем вы пытаетесь бороться
и тем не менее при такой реализации моя программа будет на порядок безопаснее всех аналогов, т.к я не встречал утилиты, которая бы из хостса потирала что-то выборочно. а у нас будет потирать с бэкапом только в случае явного заражения.
тем более аргумент, что юзеру будет не найти свои записи в бэкапе не катит, т.к:
1. Если юзер умный и сам вносил записи в хостс, то он либо сам исправит доступ к сайтам, либо восстановит нужное из бэкапа.
2. Значительная часть зловредов тупо заменяет хостс и там просто не будет юзерских записей
3. Найти свои записи в бэкапе не сложно - они будут в самом начале, т.к зловреды, которые не заменяют хостс - они туда _дописывают_ адреса.
4. Это значительно более правильно, чем оставить с неверным направлением какие-то адреса, которых нет у нас в базе (пару банков, например).
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Если к тому времени, как закончу кодить то, что сейчас обсуждаем он не прекратит существовать in the wild, то будем думать.
уже сейчас его популярность очень мала. А вариант лечения только один - замена патченного файла. Сделать нормальное лечение всех вариаций до сих пор не могут лидеры антивирусного рынка.
 

wcloser

Активный пользователь
Сообщения
50
Реакции
37
Баллы
318
На обычной системе увс трет эти ключи для отключения политик:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ActivePolicy
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Persistent\ActivePolicy

А вариант лечения только один - замена патченного файла. Сделать нормальное лечение всех вариаций до сих пор не могут лидеры антивирусного рынка.
я побоялся это сказать, дабы никто не стал говорить, что я леплю очередной "шедевр" и что я должен все-таки сделать корректное лечение всех разновидностей :)
А так да, таскать с собой базу (или подгружать из инета) либы для разных версий ОС - самое нормальное решение.
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,838
Баллы
503
Нашёл такую штуку на файлообменнике.

И чистилка webalta (не проверял) http://sweet.211.ru/action/download/downloadid/17989/
http://webaltakiller.ru/
 

Вложения

  • Unlock Mr.Hacker upo Для обхода Winlock.exe.zip
    3.7 MB · Просмотры: 3
  • Unlock.png
    Unlock.png
    16.5 KB · Просмотры: 15
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Нашёл такую штуку на файлообменнике
Phoenix, извините, а смысл этого вашего поста? Как в теме уже писалось подобных разных утилит сотня, сейчас все будем выкладывать в этой теме? Тут речь идёт о создание новой, собственной более качественной утилиты. Если в этих утилитах есть, что-то более качественное, что стоило бы добавить в функционал то тогда укажите, а то просто мусорный пост. Про вебальта килер тут уже писали и ссылку на него давали ;).
 
Сверху Снизу