Erekle
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 , или почти флуд вслух, но раз разговор пошел о дисках...
Никакие это НЕ "спасательные диски" в полном понимании слова.
Как-то на ВирусИнфо была речь об этом же. Я посетовал на то, что часто недостаточно удаления самой заразы. Иногда надо исправлять в реестре, иногда надо вставлять чистые системные файлы взамен зараженных. Интереса не вызвало: тогда можно было как-то задействовать Регэдит, запускать AVZ и на крайный - спокойно загружаться в безопасный режим.
Лайв СД нам в руки, как сказано по последней ссылке gjf. Однако - "спасательные" дополнительного инструментария, за редким исключением, не имеют, и то - надо лазить "вручную" по веткам да листьям. Да и каков смысл в "фирменном" диске, когда антивирусы, увы, новую/измененную заразу НЕ видят, и когда они и так имеются в любой сборке, и не в одиночестве, и наряду со многим полезным софтом и традиционным RunScaner-ом. Но этих сборок много, большинство - большого размера, т.е. человеку, его не имеющемуся, нелегко его скачать (и разобраться сначала во сборках, потом в его работе), есть разные подходы работы с реестром установленной ОС, и в программах анализа наряду с данными из него выводится и часть параметров реестра самого Лайв СД, многие параметры, как то проводника и др., - только из него.
Если ковыряться с загрузкой кустов (и по веткам и листьям), конечно всё можно, но часто и на это нет времени, и предпочтительнее запускать разные программы с удаленным реестром. Не очень опытному пользователю и так трудно разобраться. Поэтому, как мечтается, надо бы изготовить микросборку (есть же готовые, размером ~30 мб и с минимумом программ, типа альтернатив проводника), гарантированно загружающуюся на каждом компьютере, и чтобы она включала только: усовершенствованный RunScaner, плюс прспособленные к последнему AVZ, и, скажем, менеджер автозагрузки (например OSAM, не секрет же, что он видит больше и лучше, чем AVZ; или же Autoruns; или тот же HijackThis, но его отсутствие не критично), и что обычно советуют для логов, и что-нибудь из софта, получше разбираюшееся в хитростях маскировки на диске, если таковое последует, - чтобы в случаях невозможности работы с активной системой проводить - даже - лечение с этой сборки. Не указывать на ту или иную сборку, а на одну и специализированную конкретно. CureIT и AVP - скачивать отдельно. Пришел человек, скачал эту сборку и далее как обычно в "Помогите".
Почти забыл, что не на ВИ в данный момент. 
________________________________
Цитата:| Какой детект на уровне HIPS вы хотите увидеть? Пропись в автозапуск и папку system32? Так и обычный плеер это делает |
Да, именно надо увидеть, уже! Пропись в автозапуск не такое уж частое явление, чтобы не озабочивать пользователя вопросом об этом. Внедряться в какой-нибудь Winlogon или Svchost или заменять их - тоже из этого ряда. Надо спрашивать, и спрашивать с устрашаюшим описанием последствий. Насчет второго вообще не надо спрашивать, как мне кажется. Но до того надо такое действие засекать. |
Потому на ней минимум - и самое необходимое. Плюс к ней дополнительная флешка - уже на 1 Гб, тоже под завязку. Плюс портативный HDD на 160 Гб 
(заиметь бы этот портативный HDD, но разве USB_HDD загружается на каждом компьютере, например, десятилетней давности? 
