1. те истории, которые ты преподносишь как нештатные здесь, я отношу к банальным. заражение hosts либо разовое каким-то залетным скриптом, либо через автозапуск, теперь же добавился способ заражения через планировщик. любая утилитка, которая выполняет анализ hosts, автозапуска, включая планировщик задач - покажет это в своем логе. Ничего нешатного здесь нет.
.
2. вот из опыта решения внештатных ситуаций. ---------- в июле-августе на компьютерных форумах был пик обращений пользователей с проблемой: после очистки антивирусом заражения системы (в том числе и cureit) перестает нормально работать меню Пуск в системах: либо блокируется кнопка Пуск (в Vista/Seven/Windows 8), либо вместо элементов меню появляется черный квадрат (XP/W2k3). Поиск решения происходил одновременно на нескольких форумах практически одновременно, разными средствами. с помощью анализа образа автозапуска в Universal Virus Sniffer была найдена причина блокировки Пуск. Модуль crexv.ocx при установке бэкдора перезаписывался в CLSID вместо системных объектов: SHELL32.dll, wbemsvc.dll. Таким образом, после очистки файла crexv.ocx штатными антивирусами или сканерами в реестре не восстанавливались нормальные значения ключей InProcServer32 в CLSID:
Цитата:
|
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545 d-a0c2-42b4-9708-a0b2badd77c8}\InProcServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C85780 1-7381-11CF-884D-00AA004B2E24}\InProcServer32
|
в качестве решения использовались твики восстановления нормального значения данных ключей. однако и эти твики не всегда решали проблему поскольку для внесения исправлений в реестр в соответствующие ключи не хватало прав записи для группы Администраторов. для того чтобы добавить права учетной записи Администраторы мы использовали утилиту subinacl.exe, которая может управлять разрешениями в реестре. далее, разработчиком uVS была выпущена 3.76, которая в автоматическом режиме решает данную проблему, удаляя бэкдор и восстанавливая в реестре правильные значения в соответствующих CLSID.
.
если интересно, могу дать ссылку на детальный разбор этой истории
3. в личку мне не нужны логи (хватает логов для анализа), достаточно будет тех, которые будут выложены в разделе вирусы.
4. никто не зацикливается на AVZ, если ты читал внимательно правила. Там целый комплект логов запрашивается. hj, avz, uVS. если их не хватит для решения проблемы запрашиваем другие детальные логи: rsit, otl, combofix... так сказать по мере сложности проблемы.
5. по поводу твоего личного опыта я пока ничего не могу сказать- он мне неизвестен, двух трех историй недостаточно для того чтобы оценить опыт участника. Так же как и тебе - неизвестен мой опыт.
6. в остальном же, я намерен не соревноваться с тобой (с другими участниками форума), у кого лучший опыт, а консультировать или консультироваться по тем проблемам, которые здесь придется решать.