Обсуждение | Помощь в лечении от вирусов
 

Данная тема предназначена для обсуждения, внесения предложений, замечаний и дополнений к правилам
Правила оформления запроса о помощи

Внимание! Не публикуйте в этой теме просьб о помощи в лечении, открывайте для каждой новой проблемы свою тему, согласно Правилам раздела "Лечение систем от вредоносных программ"!

Pili

В правилах нет порядка оформления запроса о помощи. Т. е.:
1. Надо четко определить, должны ли пользователи создавать отдельные топики для каждого случая заражения или нет. Если нет, то в каких случаях допускается поднимать проблему в уже существующем топике.
2. Надо определиться с оформлением названия темы. Как его формировать. Например, очень частые "Помогите", "HELP, Проблема" и "не работает" общими правилами не приведствуются. поэтому надо объяснить пользователям, что же они должны писать в названии
3. Объем информации в посте при создании темы. Достаточно ли поста, содержащего только эти 3 лога? Или все же какое-то описании ситуации должно быть? Требуется ли указание характеристик ситемы (ОС, основные о ПК) или для решения проблемы достаточно из вложенных файлов?

Обычно хватает...

А, также добавить предупреждение, что выполнять чужие скрипты опасно для жизни компьютера.

Пожелание не постить карантин в тему, а заливать на файлообменник и давать ссылку в теме.

спасибо, напомнил :)
ссылку в РМ, иначе, если в тему, почти то же самое получается, что и прикрепялть файл карантина (уже тут были случаи) к сообщению (если влезает)

Врядли получится т.к. получил карантин один человек, а другие "хелперы" как? т.к. если анализ проводит один человек сразу "стреляет" задержка в обработке...

akok, я понимаю, но размещать ссылку на карантин (который может содержать вирусы) в открытом доступе нельзя (правила конференции), сервис "прислать запрошенные файлы" идеальный выход из такой ситуации, но он здесь отсутствует. Выход - человек может разослать в РМ ссылку нескольким "хелперам"

Да по правилам оформления запроса о помощи.

1. Пункт один лучше перенести в конец т.к. это не всегда реально сделать, и возможны "выпадания" системы


2. пункт 1.2 удалить
IMHO,
это все равно, что не лечить...надо ОТКЛЮЧАТЬ службу востановления системы до окончания лечения.

3. - долго смеялся...если у клиента 4.33 с базами от 10.01.05?

4. Может сделать так: 2.1 или 2.2.

5. - замечание то же(см. п. 3)

6. - а зачем?

7. или *.pif, *.cmd

8. - можно еще добавить такой способ

9. - однозначно отключать

- честно, только вылез из под стола, вытер слезы и борюсь с икотой....

Хоть мы и за чистый интернет, но надо быть реалистами...

п.3.2 надо поправить. Если его исполнять, то надо пропустить последующие два пункта.

Мне кажется, что использование двух похожих инструментов запутывает пользователей. Надо остановиться на чем-нибудь одном: AVZ or AVPTool.

1. очистку вр. файлов желательно проводить до лечения, см. напр тут, впрочем это стандартные рекомендации и проверенные практикой.
2. Не отключаем, пока не убедимся, что там есть зловреды (потом еще и в ходе лечения можно рекомендацию дать), отключаем в п.2.2.
3,4, 5 по п.2.1. и 2.2 (о старых анитвир), ничего страшного, там есть взаимозаменяемость ( сканим или cureit или AVPTool в любом случае), про "обновите ваши антивир. базы" можно вписать
6. На случай, если они потребуются в будущем. Логи сканирования хелперы просят на многих форумах, напр. на www.malwareremoval.com/forum, www.bleepingcomputer.com/forums и др.
7,8 - по рекомендациям хелперов процессе лечения.
9 ключевое слово "можете"
успешной борьбы под столом :)
Вы считаете, что нелиц. ПО это нормально? )
"ASAP members and member sites will not knowingly advocate the use of pirated software."

PavelA_VI, покажет практика, надеюсь не запутаются, кроме того AVPTool больше для домохозяек, как это сказал DVI, в AVZ больше функционала, в будущем может разветвление сделаю в правилах.

Нет не считаю. Просто я реалист...

Спасибо буду стараться:)

Ну незнаю, просто так, сюда никто ничего писать не будет. Да и востановление системы есть рулетка сработает или нет. Я например отключил и только рад.

akok, я согласен, если не серв. ОС (у себя дома тоже отключил, если что, то и без точек отката разберусь, но не все же разбираются), а вот напр. тема, где отключил и не рад (и полно таких случаев), кстати Combofix напр. и др. утилиты автоматом создают точку восстановления.
про обновление баз - внес.

Уважаемый Pili,
По моему резонно, так как АВЗ иногда не запускается и после замены расширения на com.

Олег Акопян, я же написал, что это м.б. по рекомендациям в ходе лечения, в общем добавил.

Уважаемый Pili, я видел, просто, считал, что необходимо это добавить сразу, что бы уменьшить количество вопросов-ответов, по этому поводу, между жаждущим помощи и оказывающим помощь. Благодарю, что добавали.

Простите, уважаемый Pili, но почитав некоторые рекомендации, всё таки хотелось бы, что бы Вы совместно с администрацией, подумали о создании какой-то закрытой группы, в которую будут входить товарищи могущие давать рекомендации.

Да ладно зато весело;)

Олег Акопян, предложение я давал, движок форума не позволяет ограничивать, таким образом помощь получается как на форуме касперского. Зато новым "хелперам" есть поле для тренировок :)
Постараюсь вредные советы удалять (по возможности), но "полицейский" режим не хотелось бы вводить.
Если логов в теме нет и начинается обсуждение, несущее смысловую нагрузку - бога ради, пусть поднятая проблема обсуждается, но если флуд, то по прохождении некоторого времени (3-х дней думаю хватит), такие темы придется закрывать.

Понятно. Спасибо. Если логов нет вроде и ладно, но ведь пользователь может не вылаживать логи. а просто читать советы этих "добрых" людей. А вот когда предлагают скрипты, которые писались для других машин - этож ужас, тогда Вам необходимо поскорее удалять такое безобразие. Я и не хотел сказать, что нужен полицеский режим. Обсуждение решения проблемы - это очень хорошо, но если оно конструктивно, а не деструктивно.

Такого пока не было.

Простите, но такое было. И есть в теме http://forum.oszone.net/thread-100634.html висит скрипт , который предложил пользователь ike в посте №3 . Его пожурили, но скрипт как висел так и висит.

Олег Акопян, пофиксил :)

Да ладно, случай единичный. Со времени создания "правил" никто особенно и не пытается работать с логами.
А от советов типа "..снеси тОрмоза каспера, нод рулит всегда и везде", а также ".. даешь ад-авару" не скроешься нигде :)

Это факт, но создание этого раздела почти совпало с созданием правил запроса о помощи, раздел ещё сравнительно молодой, надеюсь народ осознает, что предоставление логов влияет на скорость получения помощи.

Severny
Сообщения: 1,380
Благодарности: 138
знаменательно :)

Нет, я имел ввиду другое. Люди особо не пытаются разбирать выложенные пострадавшими логи.
Вроде как "правила" "дисциплинируют". Нет желания выглядеть "бледно".

Цитата:

Цитата Pili знаменательно :) »

Pili,
Сообщения: 570
Благодарности: 114
Знаменито :)

Severny, хмм. вроде бы, если в темах логи были, они анализировались и рекомендации давались, правда топикстартеры потом почему-то часто пропадают, остается только гадать, то ли от проблему решили и забыли, то ли винду переустановили :)

Опять я неточно выразился :(
Люди посторонние, так сказать, не пытаются особо анализировать логи.
Т.е. особой проблемы нет, для чего создавался бы определенный круг хелперов. На данный момент во всяком случае.

может просто не успевают? :) Если трое или больше будут по одним логам скрипты разные писать - такой кошмар будет для обратившегося за помошью :)

Настоятельно предлагаю переименовать данную тему в соответствии с первым постом.
А то человек читает: "Помощь в лечении от вирусов" (предыдущее слово "Обсуждение" малопонятно и оно как-то теряется). Человек идет по ссылке и читает первым делом в первом посте, что за помощью - не сюда обращаться. И хорошо, если читает, а может сразу шарахнуть свое сообщение-просьбу здесь. Даже если такого до сих пор не случалось, всё равно я, скромно говоря, прав.
Название темы может, например, звучать конкретно: Обсуждение правил запроса о помощи в лечении от вирусов.

И вопрос у меня по тому, что прочел в правилах, а куда его задать - не знаю. Вот цитата из Правил: "Скачайте свежую версию утилиты Kaspersky Virus Removal Tool (AVPTool), установите и, после перезагрузки, запустите автоматическое сканирование". То есть, хочу уточнить, эта утилита ставится прямо на зараженный диск (систему)?

truvo, Здесь, в этой теме, можно обсуждать не только сами правила (точнее вносить предложения, уточнять пункты, можно разместить например FAQ (такие сообщения я буду собирать и м.б., когда их соберется определенное кол-во, вынесу в отдельную тему), поэтому тема наз-ся "Обсуждение | Помощь в лечении от вирусов", т.е. это также общая тема.
таких прецедентов ещё не было, если будут - такие сообщения будут удаляться или переноситься.
Да, можно ставить на зараженную систему, подробное описание AVPTool есть тут
Если вирус файловый, например Sality, лучше загрузиться с загрузочного диска (напр. WinPE), на который предварительно записать распакованную (winrar`ом например) версию CureIT или использовать Dr.Web LiveCD

Но я прочел первые три строки в первом посте, а там четко сказано - только. Тогда правьте первый пост.

truvo, ну во-первых первый пост это темы не мой, а Greyman`a, а во-вторых в упор не вижу в его посте слово "только" (и не вижу, чтобы сообщение редактировали в ближайшее время, изменения вносил Vadikan 22-01-2008)

Ну если нет рядом других вариантов.

Кстати, что касается AVP Tool - никто не знает, что у них там случилось и почему перестали выходить новые версии?

Информация от разработчика:
Взято здесь

Выпущена версия 7.0.0.223 AVP Tool
Пофиксены баги, выявленные по результатам тестирования.

PS: пока не релиз.

Изучаю правила с целью выложить логи. у меня вопрос:
3.1. Закройте все программы, включая антивирусные программы и firewall, если они имеются, оставьте запущенным только Internet Explorer, временно отключитесь от сети интернет, если не хотите оставить компьютер беззащитным от угроз из сети интернет.

Зачем оставлять запущенным Internet Explorer,если отключаемся от интернета?

И второе:
3.3. Запустите AVZ и обновите базы (Файл - Обновление баз

Как обновить базы, если перед этим отключились от сети интернет?

P.S. Извините,еще не научился оформлять цитаты.

Чтобы видеть подгружаемые вместе с ним модули.
Цепляешься

инструкция:
Скачайте Malwarebytes Anti-Malware здесь,здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть)

зачем эти иностранные Perform Full Scan, Scan если программа переведена на 100%.

ники, МВАМ нет в правилах, кроме того не все переключают на русский, в инструкции (скобочках) есть перевод.

а переключать и неприходится

ники, Пробовали устанавливать МВАМ на англоязычных версиях windows? Если нет, то и не говорите, что переключать не приходится. Кроме того, посмотрите вверх, в шапку темы для чего эта тема, о МВАМ в правилах ни слова.

Актуально ли в Правилах это?Я имею в виду - нужна ли перезагрузка? Ведь после установки утилиты сразу же, автоматом, открывается её окно - и это выглядит как предложение продолжить действия, т. е. запустить сканирование, а получается, что мы должны его закрыть, перезагрузиться, а зачем тогда оно открывалось?

truvo, убрал про перезагрузку, но во-первых, AVPTool устанавливает свои драйвера, во-вторых перезагрузка м.б. для проверки в безопасном режиме.

Pili, в разделе Устранение критических ошибок Windows участились случаи BSOD на "AVZ Kernel Driver". Можно как-нибудь акцентировать внимание людей на пункте 5.6 правил? А то он в самом конце (многие не дочитывают или забывают, в результате в системе остается драйвер AVZ, который впоследствии вызывает "синий экран").

Хотелось бы, чтобы хелперы после окончания лечения в обязательном порядке напоминали о необходимости удаления AVZPM.

Petya V4sechkin, добавил напоминание в п.3 правил и слегка изменил п.5.6. Хочется отметить, что в тему 0x000000C2: BAD_POOL_CALLER с BSOD обратились участники, которые не обращались за помощью в тему лечения. Напоминать об удалении AVZM дополнительно будем в темах, но проблему надо решать глобально, на VI поднял вопрос.

Pili, дополню: имя драйвера AVZPM начинается с uz, сбой происходит по смещению 177b, типичный пример:
Может быть, Олегу сообщить?
Хотя минидампа для тщательного разбора недостаточно (а полных дампов у нас на форуме не выкладывали).

Уточняю: "AVZ Monitoring Driver".

Petya V4sechkin, Олег, надеюсь, уже должен был прочитать пост в закрытом разделе VI...
Удалить остатки драйверов AVZ целиком можно выполнив скрипт