safety

контингент может быть разным, а проблемы все более универсальные... поэтому анализировать надо не содержимое головы пользователя (там нет проблемы), что он там думает себе, а саму проблему. и решать ее универсальным способом. логи - анализ - скрипт & устные рекомендации. и это хорошо работает. (не обнаруживается проблема в AVz, проверяем по логам uVS и т.д.)
---------
согласись, что если пользователь может найти и очистить в редакторе hosts, то он без проблем сможет и выполнить скрипт, содержащий команду очистки hosts
(и особенно ему не надо вникать в скрипт. это вопрос доверия к хелперу. если пишет плохо скрипты, никто его скрипты не будет выполнять.)

Max

Ну не всегда подобные панацеи срабатывают.
Вирусня и малварь модифицируется раньше, чем выйдут обновления и это факт.
Если нет мозгов, то и логи не помогут. А если еще и логи подведут, то что теперь, ступор? Помимо извлечения логов и умения понимать выдаваемую ими информацию, нужно еще знать прописные истины системы. Лично я быстрее сам найду и руками удалю прежде, чем тот же самый AVZ запишет что-то себе в лог, и то, если найдет. AVZ и ему подобные сдувались не раз на моем админском веку. Так что давайте прекращать эту бесполезную дискуссию.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

safety

Max, я понимаю только язык примеров. НЕ всегда, это когда? значит надо привести пример, в каком случае это не работает. (поскольку я могу привести тысячи примеров, когда это работает). А так.... согласен, это бессмысленный диалог.
--------
цель же моего диалога понятна. Это научить наших посетителей выполнять правила раздела. Если мы не будем следовать этому - то, толка никакого с этого раздела не будет. Это будет раздел разговоров, а не реальной помощи.

Max

Чем не пример? http://www.tehnari.ru/f183/t82196/

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

safety

Max, эту тему мы уже обсуждали. Результат был таким, что у тебя не сохранились логи, а без логов не о чем там говорить.

Max

Ну так логи все равно были пустыми, а веришь ты в это, иль нет, мне как-то... Ну ты понял.
К тому же я не первый, у кого тот же АВЗ сдулся, читай выше.
Пора уже признать очевидное: не всегда твои логи уместны, ибо их прородители не всемогущи.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

safety

здесь 50 на 50. или не обнаружил AVZ, или был невнимателен хелпер, который создавал логи. А без логов это никак не
выяснить.
-------------
я же могу отослать тебя к любому из известных форумов по безопасности в раздел обнаружение вредоносного кода, где именно по логам хелперы решают тысячи проблем, а не по домыслам и предубеждениям, и частному опыту, который в одном случае противоречит другому случаю.

Max

Очен жаль (а может наоборот к лучшему), что внештатные ситуации находятся по ту сторону твоего опыта. Повторюсь: с AVZ работаю не первый год и знаю, что такое логи и что в них написано. В одной ситуации AVZ помог, в другой нет - это нормальная практика, ибо нет идеального софта, ровно, как и нет универсального решения для всех проблем с ПК. Специально для тебя, если столкнусь с ситуацией, в которой AVZ очередной раз не поможет, солью логи и вышлю в ЛС.

И еще: не старайся стаить под сомнение мой опыт, а лучше совершенствуй свой, судя по нежеланию признавать то, что AVZ и ему подобные не всегда справляются с поставленными перед ними задачами, тебе есть к чему стремиться. Ничего личного.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

safety

1. те истории, которые ты преподносишь как нештатные здесь, я отношу к банальным. заражение hosts либо разовое каким-то залетным скриптом, либо через автозапуск, теперь же добавился способ заражения через планировщик. любая утилитка, которая выполняет анализ hosts, автозапуска, включая планировщик задач - покажет это в своем логе. Ничего нешатного здесь нет.
.
2. вот из опыта решения внештатных ситуаций. ---------- в июле-августе на компьютерных форумах был пик обращений пользователей с проблемой: после очистки антивирусом заражения системы (в том числе и cureit) перестает нормально работать меню Пуск в системах: либо блокируется кнопка Пуск (в Vista/Seven/Windows 8), либо вместо элементов меню появляется черный квадрат (XP/W2k3). Поиск решения происходил одновременно на нескольких форумах практически одновременно, разными средствами. с помощью анализа образа автозапуска в Universal Virus Sniffer была найдена причина блокировки Пуск. Модуль crexv.ocx при установке бэкдора перезаписывался в CLSID вместо системных объектов: SHELL32.dll, wbemsvc.dll. Таким образом, после очистки файла crexv.ocx штатными антивирусами или сканерами в реестре не восстанавливались нормальные значения ключей InProcServer32 в CLSID: в качестве решения использовались твики восстановления нормального значения данных ключей. однако и эти твики не всегда решали проблему поскольку для внесения исправлений в реестр в соответствующие ключи не хватало прав записи для группы Администраторов. для того чтобы добавить права учетной записи Администраторы мы использовали утилиту subinacl.exe, которая может управлять разрешениями в реестре. далее, разработчиком uVS была выпущена 3.76, которая в автоматическом режиме решает данную проблему, удаляя бэкдор и восстанавливая в реестре правильные значения в соответствующих CLSID.
.
если интересно, могу дать ссылку на детальный разбор этой истории

3. в личку мне не нужны логи (хватает логов для анализа), достаточно будет тех, которые будут выложены в разделе вирусы.

4. никто не зацикливается на AVZ, если ты читал внимательно правила. Там целый комплект логов запрашивается. hj, avz, uVS. если их не хватит для решения проблемы запрашиваем другие детальные логи: rsit, otl, combofix... так сказать по мере сложности проблемы.

5. по поводу твоего личного опыта я пока ничего не могу сказать- он мне неизвестен, двух трех историй недостаточно для того чтобы оценить опыт участника. Так же как и тебе - неизвестен мой опыт.

6. в остальном же, я намерен не соревноваться с тобой (с другими участниками форума), у кого лучший опыт, а консультировать или консультироваться по тем проблемам, которые здесь придется решать.

Max

Да никто и не соревнуется. Просто я хочу донести до тебя, что бывают ситуации, когда инфа не идет в логи. Х.З. из-за чего: глюк системы, модификация вируса, или недоработка со стороны разработчиков антивирусного ПО, но факт остается фактом. Это все равно, что просканировать незараженную вирусами систему и посмотреть логи. Я, быть может, тоже не поверил бы, если бы сам лично не столкнулся с этим, к тому же AVZ и ему подобные ранее меня не подводили.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.