Предложение о запуске упрощенного интерфейса.
такого точно делать не буду. да, типа антисмс, но только для восстановление вконтактика.
если тулза и будет палить малварь, то только конкретную уже известную. основное предназначение - нажать "вконтактик_работой" и чтобы он заработал. все остальное - средство к этому.
вас задолбят месагами: 'нажал - не работает ааа!!!11 адин адин'
каспер, комодо, криптопро, приблуды типо ловитрипервконтакте и тд итп. - их намного больше. У меня стоит криптопро и я не хочу ломать его записи. Записи из этого ключа можно удалять только те, которые не имеют цифровой подписи. А потом, для чего оставлять экзешник и задание?
это вы говорите потому что провели исследование, что перечисленные вами дллки имеют валидную цифровую подпись или просто так говорите лишь бы что-то сказать?
если вы про AppInit_DLLs то по памяти вспоминаются касперский, аутпост и какая-то прога для работы с контактом (кажется лови в контакте).
ну я как бы и не записывался к вам в заказчики))) вы просили подкинуть вам идею - вот пожалуйста.
1. ну например собрать базу троянских записей в хосты и сверяться с ней (соцсети и заточенные под них анонимайзеры). Проверять легитимность ключей, которые вы удаляете. Ну и не забывать про бекапы и откат. Вопросы - а как это сделать - не принимаются))
я допустим нуб и выбрал упрощенный интерфейс.
оха, таких периодически приходится встречать. Многим из них остается только советовать откат системы или переустановку. Речь не о вашей тулзе, а о любителях разводить антивирусный зоопарк.
лучше просто создать копию старого файла, если что юзер восстановит оттуда нужные ему записи. Комментировать не лучший вариант, т.к. если у юзера до этого стоял Spybot - Search & Destroy то там будет несколько сотен адресов, которые по факту только тормозят работу браузеров.
ну желательно не только этого, а всего что будет снесено\исправлено
Это понятно, просто по-моему проще грохнуть такую запись из реестра, а очищать темп - имхо не комильфо, мало ли там сейчас есть какие-то файлы из работающих программ. Хотя можно и сделать - посмотрим, что общественность скажет.
Можно, в принципе.
каспер, аутпост и эта прога как раз у меня и захардкожены
можно сделать жесткую заточку под мозиллу.
пример в предыдущем посте какие могут быть записи
ну я б не стал, безопаснее всетаки закоментить и забекапить
да, но если искать по hosts это для одного конкретного случая будет работать
опять же, папка может быть и легитимной
это имеете в виду? :
что бы вы не стали? мое предложение в том, чтобы найти в хостсе упоминания соц.сетей или открывалок доступа и только В ТАКОМ случае файл обнулять, предварительно сделав рядышком его бэкап на всякий пожарный.
это будет работать для целого класса малварей, актуальных на сегодняшний день, которые делают правку хостса через таски. так что ищем там подстроку etc\hosts и если находим - делаем бэкап и удаляем. или как? просто все таски бэкапить и удалять? я не знаю как лучше, надо думать. что предалагаете?
с папкой ничего и не собираюсь делать. если в аппинит дллка из папки мозиллы, то тереть такой ключ - вот и все. это обезопасит от затирания хорошего. хотя, можно создать базу легального ПО в этом ключе и тереть все нам неизвестное. по какому пути предлагаете идти?
папка может быть легитимной, а exe-шник запускаемой из этой папки планировщиком заданий легитимный я ещё не встречал.
+1
все имхо не стоит, часто много легальных заданий.
ОБНУЛЯТЬ полностью то зачем? Только сторки с соцсетями тереть или коментить никак?
а со второй половиной класса малварей, которая тоже распространяется через таски, но не пишет в хосты что делать?
по идее достаточно тереть оттуда все с расширением dll и exe. Но опять же - вирусописец вася слегка поменяет алгоритм - и все.
ПОЧЕМУ нельзя просто проверить ЦП на валидность а потом тереть?
насчёт проверки папки я предлагал в отношение заданий. Для длл от ShipUp (TROJAN.MODS.1) это также будет справедливо, но ShipUp это не единственные dll-ки, которые прописываются в этот ключ для блокировки сайтов и т.д., просто пока это вроде единственный зловред, который восстанавливает себя через планировщик задач.
лично я тоже за вариант полного обнуления. Злоред может добавить туда много записей в том числе и сайты антивирусов. Предусмотреть всё не реально. Проще вывести уведомление юзеру, мол если что твой старый файлик лежит здесь можешь взять и добавить из него нужное.
она блокирует доступ на одноклассник, контакты и etс ? Мы же не создаём универсальную утилиту, которая будет лечить от всего.
в предыдущих постах за безопасность и чтоб не удалить лишнее, а тут предлагаешь терять ряд легальных файлов, которые запускаются через планировщик. По-моему ты сам до конца не осознал, что написал.
у того же лови в контакте кажись нету цифровой подписи (хотя не помню наизусть), в общем не факт, если dll без цифровой подписи, что это нелегал.
а строки блокировки аверов? а строки подделки других сайтов? (банковских каких-нибудь). имхо, если мы обнаруживаем, что хостс заражен, то почему бы его не обнулить полностью и забэкапить?
а что делать с легальным ПО, которое так работает? а если юзер сам таски делал? тем более, тулза для разблокировки инета и нет задачи искать малварь - цель: разблочить вконтакте. Все.
с файлами я пока вообще не собираюсь ничего делать - работаем только с ключом.
потому, что никто не проводил исследование на предмет того, подписаны ли библиотеки у легального ПО. думаете вконтакте качалкина либа подписана?
если сообразишь что добавлять. А если я нуб и там у меня тьма записей, которые мне нужныдля работы? Я буду по одной перебирать сам вручную, чтобы проверить, какая из них моя, какая - вирь? А для чего тогда тулза? В таком случае достаточно алерта - "чувак, пошерсти свой хостс сам"
задача стоит разблокировать вконтактик или вылечить от всех болезней? Мое мнение такое - не уверен в зловредности - не трогай.
все тереть однозначно нельзя. я за этот вариант, но искать надо не тjлько по упоминанию hosts
запускает виря, который блокирует, не? седня это ShipUp, завтра будет другой.
почему, если это стопроцентная малварь?
ты шо? я про папку с мозиллой говорил.
а проверить? Тогда какой вариант остается - тереть все, кроме 4 известных вам легальных записей в этим ключе?
мы еще тут втроем насчет реестра договориться не можем, а вы уже про удаление файлов пытаетесь что-то предложить. начинаем с простого и понятного.
это и есть палка о двух концах - либо мы удаляем уже известную малварь (шипап), либо делаем что-то расширенное, но тогда есть риск потереть нужное.
хостс и мозиллу. предлагайте еще.
совсем нубы не правят самостоятельно хостс. а если и правят, то им лучше будет в бэкапе поковыряться, чем не заходить вконтакт. тем более, нет таких сейчас инструментов, которые бы выборочно автоматом правили хостс. либо под корень, либо показывают его юзеру и пусть сам решает, что удалять.
