Обсуждения и предложения на тему создания новых лечащих утилит

[koscl]

Кстати, пробовали ли вы утилиту fixaftervirus?
Я к тому, чтобы в итоге не получился дубль уже существующей утилиты.

 

[regist]

А если я нуб и там у меня тьма записей, которые мне нужныдля работы? Я буду по одной перебирать сам вручную, чтобы проверить, какая из них моя, какая - вирь? А для чего тогда тулза?

если такой нуб, то есть мальчики по вызову. А если чуть прошаренный, то увидев допустим запись адобе активате догадаешся, что это твоя блокировка проверки лицензионности адоба. Если какие-то строчки нужны тебе для работы - например сайты на локалхосте - то опять увидев их ты сообразишь, что это твоё.

задача стоит разблокировать вконтактик или вылечить от всех болезней? Мое мнение такое - не уверен в зловредности - не трогай.

так это тебе и предлагают в отношение тасков.

но искать надо не тjлько по упоминанию hosts

дополняй .

3.1. Трем запись в реестре только если находим в ней определенные подстроки, время от времени расширяя базу подстрок (на текущий момент - мозилла).

там кроме молзилы (ShipUp) есть целая куча разных маячков, последние версии имеют имя explorer при этом имена довольно быстро меняются, так что это не вариант.

Вспомнил про ещё один способ блокировки сайтов через IPSec policy. Пример можно посмотреть .

вот это ещё не забудьте - вариант решения - отключение политик.

 

[Сашка]

если такой нуб, то есть мальчики по вызову

допустим нуб и мне предлагается однокнопочная тулза, которая обещает сделать мне хорошо, но делает плохо - мне вызывать мальчика (а лучше девачку, я их больше люблю)?

пример - заработал вконтактик, отвалился какой неть клиент банк. найти его среди кучи записей в бекапе я не могу - это слишком долго. Что мне делать?

в отношение тасков.

в отношении тасков не спорю. как вариант - отсеивать легитим, виря фиксить автоматом, предлагать пофиксить юзерские записи ручками

есть целая куча разных маячков, последние версии имеют имя explorer при этом имена довольно быстро меняются, так что это не вариант.

слишком часто обновлять придется, это муторно

вот это ещё не забудьте - вариант решения - отключение политик.

на серваках особенно)))) Предлагать? и только конкретные политики

в дополнение - восстанавливать права на хостс, чистить темпы, шерстить другие места автозапуска

 

[грум]

есть мальчики по вызову

regist странное сравнение.Я не похож на мальчика по вызову.

 

[wcloser]

вот это ещё не забудьте - вариант решения - отключение политик

где в реестре шаманить надо? как это решить, если не лезть руками в гуй-интерфейс? я пока это не исследовал просто...

там кроме молзилы (ShipUp) есть целая куча разных маячков, последние версии имеют имя explorer при этом имена довольно быстро меняются, так что это не вариант

по сути я тоже согласен с тем, что тереть нужно все _кроме_ и сделать эту базу (точнее расширить существующую).

Кстати, пробовали ли вы утилиту fixaftervirus?

она безусловно все киляет и трет, а мы пытаемся сделать безопасный инструмент. Плюс уже из автозагрузки трем если через cmd.exe, таски и т.д и т.д, т.е думаю, что у нас выйдет более мощный специализированный инструмент по разблокировке доступа к сайтам.

Итого:
1. Большинство за то, чтобы с хостс делаем так, как выше предложили (если находим строки - бэкапим и обнуляем).
2. С аппинит - нужно тереть все _кроме_. Дополняем, кто что знает!
3. Что с маршрутами?

 

[Сашка]

.Я не похож на мальчика по вызову.

грум,

 

[wcloser]

восстанавливать права на хостс

уже сделано это.

чистить темпы

не уверен.

шерстить другие места автозапуска

и что там искать?

 

[Сашка]

и что там искать?

малварь, вестимо))

не уверен.

обоснуйте

пример - заработал вконтактик, отвалился какой неть клиент банк. найти его среди кучи записей в бекапе я не могу - это слишком долго. Что мне делать?

с этим что?

по идее, нужно создавать что то вроде общей базы критериев

 

[regist]

где в реестре шаманить надо?

примерно тут

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\

А точней

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{7238523c-70fa-11d1-864c-14a300000000}

 

[wcloser]

малварь, вестимо))

т.е делать свой антивирус или детектить пару актуальных на сегодняшний день семейств, которые блочат доступ и нам известно где они в автостарте?

с этим что?

во-первых, если надо правда - найдет в бэкапе, во-вторых, значительная часть малвари не дописывает свои записи в конец текущего файла, а переписывает его, так что юзерских записей там уже нет. Тем более, имхо, вы выдумываете какого-то сферического коня в вакууме, что у юзера залочен вконтактик, он качает тулзу, она ему все пишет, все бэкапит и при этом он не может достать мифическую запись из бэкапа. И как-то не встречал в инете ругани в сторону программ, которые тупо трут безусловно весь хостс без бэкапов. А мы пытаемся сделать что-то значительно умнее и то, вы почему-то считаете, что это крайне небезопасно для юзера будет.

примерно тут

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\

А точней

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{7238523c-70fa-11d1-864c-14a300000000}

В каких случаях в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local могут быть легальные записи?
А то если я захардкожу пересоздание этого ключа, то сразу взвоют. Лучше заранее обговорить как себя вести с этим ключом.

 

[regist]

В каких случаях в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local могут быть легальные записи?
А то если я захардкожу пересоздание этого ключа, то сразу взвоют. Лучше заранее обговорить как себя вести с этим ключом.

1) Думаю сделать проверку серверной ОС.
2) Удалять не надо, достачно только отключить политику. В УВС это уже реализовано, можно просто отмонитирить какие изменения в реестре он делает.
3) В теме на которую давал ссылку выше есть скрин, где юзер пытается пинговать сайты. Во всех таких случаях пишет ответ: Общий сбой. Может это можно использовать как признак этого вируса?
4) Может стоит спрятать отключение этих политик в расширенную версию утилиты (для продвинутых).

 

[wcloser]

Думаю сделать проверку серверной ОС

в теории можно. хотя нуб не должен сидеть на серверной ОС и жать такие кнопочки... хотя кто его знает)))

2) Удалять не надо, достачно только отключить политику. В УВС это уже реализовано, можно просто отмонитирить какие изменения в реестре он делает.

да, наверное так быстрее всего. чего там надо нажать не подскажите?

Во всех таких случаях пишет ответ: Общий сбой. Может это можно использовать как признак этого вируса?

это сложно будет исследовать имхо. нужны разные ос, тем более, что такой ответ возращается в консоль, а какая ошибка при прямом доступе - х.з.

Может стоит спрятать отключение этих политик в расширенную версию утилиты (для продвинутых).

или 10 красных предупреждающих алертов, лицензионное соглашение и т.д)))

 

[Сашка]

или детектить пару актуальных на сегодняшний день семейств

если хотите, чтобы тулза представляла собой что то стоящее, а не очередной "шедевр", коих наляпана уже туева хуча, стоит развивать ее по всем направлениям. Иначе от нее пользы на пару недель, потом будут новые вири и новые алгоритмы, против которых ваша поделка не поможет. Хотя, если вы любите тратить время на бесполезный труд - удачи.

идею с hosts все равно считаю неудачной, т к если она хоть кому то может повредить, то она не чем не лучше того, с чем вы пытаетесь бороться.

с Zekos каким образом будете разбираться? или не будете?

 

[regist]

серверной ОС и жать такие кнопочки... хотя кто его знает)))

нуб за сервером как раз и будет жать такие кнопочки.

да, наверное так быстрее всего. чего там надо нажать не подскажите?

ALT + T - вызов окна твиков. Там твик №26 - Деактивировать активную IPSec политику.

 

[грум]

если она хоть кому то может повредить

Сашка тебя вместо билла гейтца надо ставить.Вот бы виндоус работал у всех.Выпустили плохое обновление,компьютерам беда.Всех сразу на биржу труда.

 

[wcloser]

с Zekos каким образом будете разбираться? или не будете?

Если к тому времени, как закончу кодить то, что сейчас обсуждаем он не прекратит существовать in the wild, то будем думать.

если хотите, чтобы тулза представляла собой что то стоящее, а не очередной "шедевр", коих наляпана уже туева хуча, стоит развивать ее по всем направлениям.

делать малваребайтес-антималваре? мы ведь изначально говорим о том, что делаем разблокировку интернета.

идею с hosts все равно считаю неудачной, т к если она хоть кому то может повредить, то она не чем не лучше того, с чем вы пытаетесь бороться

и тем не менее при такой реализации моя программа будет на порядок безопаснее всех аналогов, т.к я не встречал утилиты, которая бы из хостса потирала что-то выборочно. а у нас будет потирать с бэкапом только в случае явного заражения.
тем более аргумент, что юзеру будет не найти свои записи в бэкапе не катит, т.к:
1. Если юзер умный и сам вносил записи в хостс, то он либо сам исправит доступ к сайтам, либо восстановит нужное из бэкапа.
2. Значительная часть зловредов тупо заменяет хостс и там просто не будет юзерских записей
3. Найти свои записи в бэкапе не сложно - они будут в самом начале, т.к зловреды, которые не заменяют хостс - они туда _дописывают_ адреса.
4. Это значительно более правильно, чем оставить с неверным направлением какие-то адреса, которых нет у нас в базе (пару банков, например).

 

[regist]

Если к тому времени, как закончу кодить то, что сейчас обсуждаем он не прекратит существовать in the wild, то будем думать.

уже сейчас его популярность очень мала. А вариант лечения только один - замена патченного файла. Сделать нормальное лечение всех вариаций до сих пор не могут лидеры антивирусного рынка.

 

[wcloser]

На обычной системе увс трет эти ключи для отключения политик:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ActivePolicy
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Persistent\ActivePolicy

А вариант лечения только один - замена патченного файла. Сделать нормальное лечение всех вариаций до сих пор не могут лидеры антивирусного рынка.

я побоялся это сказать, дабы никто не стал говорить, что я леплю очередной "шедевр" и что я должен все-таки сделать корректное лечение всех разновидностей
А так да, таскать с собой базу (или подгружать из инета) либы для разных версий ОС - самое нормальное решение.

 

[Phoenix]

Нашёл такую штуку на файлообменнике.

И чистилка webalta (не проверял) Скачать webaltakiller бесплатно для Windows на русском (WebaltaKiller.exe). Загрузить по прямой ссылке
http://webaltakiller.ru/

 

[regist]

Нашёл такую штуку на файлообменнике

Phoenix, извините, а смысл этого вашего поста? Как в теме уже писалось подобных разных утилит сотня, сейчас все будем выкладывать в этой теме? Тут речь идёт о создание новой, собственной более качественной утилиты. Если в этих утилитах есть, что-то более качественное, что стоило бы добавить в функционал то тогда укажите, а то просто мусорный пост. Про вебальта килер тут уже писали и ссылку на него давали .