Форум: "Прочее";
Текущий архив: 2011.10.23;
Скачать: [xml.tar.bz2];
ВнизОпять WinLock Найти похожие ветки
← →
Германн © (2011-06-27 02:29) [0]В очередной (третий) раз дщерь словила сию гадость. В первых двух случаях нам помог Dr.Web. В этом случае он не помог. Знает ли кто-то другой способ?
← →
SQLEXPRESS (2011-06-27 02:34) [1]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell=Explorer.exe
должно быть
сафемоде ин кмд, тупе regedit анд пресс энтер :)
- 80 % их так садятся
← →
SQLEXPRESS (2011-06-27 02:54) [2]нет?
из, примерно 7-10 раз, когда меня звали, только один раз была подмена самого експлорера(что считаю почти аналогичным) и один раз другая ветка реестра
← →
SQLEXPRESS (2011-06-27 03:13) [3]если нужен совет, то он будет таков:
качаем
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=04d26402-3199-48a3-afa2-2dc0b40a73b6
ставится элементарно, гость система ставится как обычный виндовс
прописываем там ип в той же сети
(прошу извнить - клава сломана, экранкой набираю, мышкой)
те если хост система (реальная имеет адрес ) 192.168.0.1
то в той, гостевой, пишем
192.168.0.11, например
и указываем шлюз первой, т.е. 192.168.0.1
так же указываем и днс сервер = ип хост системы (192.168.0.1)
в принципе, все..
теперь запускаем гость систему и творим там все что душе угодно, вплоть до удаления системных папок
что ничего не надо сохранять.
все! при следующем запуске девственно чистая система..
а если не нужен совет, то прошу вернуть все прочитанные буквы назад :)
← →
SQLEXPRESS (2011-06-27 03:17) [4]
>
> теперь запускаем гость систему и творим там все что душе
> угодно, вплоть до удаления системных папок
> что ничего не надо сохранять.
следует читать
теперь запускаем гость систему и творим там все что душе
угодно, вплоть до удаления системных папок
а при завершении работы, на вопрос системы, что сделать с сеансом , прокоммитить или проигнориоать, сказать,
что ничего не надо сохранять.
← →
Дмитрий С © (2011-06-27 05:18) [5]
> SQLEXPRESS (27.06.11 02:34) [1]
>
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
>
а еще можно права у всех забрать на изменение ветки)
← →
MonoLife © (2011-06-27 06:32) [6]Хотя бы spybot"а какого-нить установить..
← →
SQLEXPRESS (2011-06-27 08:13) [7]да,
но нет
виртуалка .
там в принципе можно сделать все что угодно.
единственное еще - надо настроить какую нибудь папку на реальной системе, как сетевой диск на виртуальной. (ну надо же куда то сохранять что-то, не до перезагрузки же мп3 всяким жить)
а папку уже в реале настроить на самый полный скан антивирусником. А то есть и такие, что по сетевым шарятся..
зато какой теперь разгул! без антивирусника, по любым сайтам, пусть брандмауэр и браузер оборутся хоть :)
или программа нужна на 1 раз и страшно ставить на реалку..
а тут без проблем! поставил, пусть на 99% знаешь что она с трояном
всегда можно нажать кнопку [Х] и сказать, дескать, нет, не надо коммитить этот запуск.
и все! как будто ничего и не было..
← →
tesseract © (2011-06-27 10:02) [8]Включить UAC и снести с дщери права админа + использовать блокировку левых сайтов например от SkyDNS. Против шаловливых ручек ни один антивирь не поможет - всё равно отключат.
← →
Anatoly Podgoretsky © (2011-06-27 10:24) [9]> tesseract (27.06.2011 10:02:08) [8]
Хороший антивирус не так просто отключить даже администратору
← →
boriskb © (2011-06-27 10:24) [10]
> В первых двух случаях нам помог Dr.Web. В этом случае он
> не помог.
Этот?
http://www.freedrweb.com/cureit/?lng=ru
← →
Smile (2011-06-27 10:36) [11]В первую очередь необходимо отключить Winlock.
Ну, а только потом, лечить и удалять.
Отключить его проще всего вручную.
Для этого:
regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell,
где должно быть указано explorer.exe
и раздел userinit, где должно быть указано
C:\WINDOWS\system32\userinit.exe,
(если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой).
Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
Если есть возможность, то загрузиться в безопасном режиме с поддержкой командной строки, иначе Live CD (Erd Commander, Bart PE и прочие)
← →
QAZ (2011-06-27 10:42) [12]
> Дмитрий С © (27.06.11 05:18) [5]
> а еще можно права у всех забрать на изменение ветки)
а вот это дибильный совет
даже не пытайтесь
← →
QAZ (2011-06-27 10:49) [13]
> В этом случае он не помог.
а в чем это выражается собственно?
← →
antonn © (2011-06-27 11:30) [14]
> сафемоде ин кмд, тупе regedit анд пресс энтер :)
какие все умные :)
а если regedit заблокирован? а в безопасном режиме грузится этот же винлок.
← →
oldman © (2011-06-27 11:46) [15]
> antonn © (27.06.11 11:30) [14]
> какие все умные :)
> а если regedit заблокирован?
AVZ разблокирует...
← →
* © (2011-06-27 11:50) [16]уже есть boot winlock`и, так что
> какие все умные :)
← →
antonn © (2011-06-27 11:54) [17]
> AVZ разблокирует...
если я запускаю AVZ, значит я уже все сам разблокировал и могу запустить касперского :)
← →
Smile (2011-06-27 11:59) [18]Странно слышать, что для пользователя "средней руки" удаление Winlock, без каких-либо дополнительных программ, может представлять какую-то проблему
:)
← →
antonn © (2011-06-27 12:01) [19]нетбук.
← →
antonn © (2011-06-27 12:05) [20]Ну продолжу мысль: учетная запись "Администратор"/"Administrator" отключена, в безопасном режиме винлок, в "запуск с поддержкой командной строки" при отсутствии прав уповать не стоит. СД-привода нет, сети нет.
Может такая ситуация представлять проблему? Или у всех всегда под рукой загрузочные флешки и usb-приводы?
Обычно проблема зайти в рабочую станцию, а не найти где гадость прописалась.
← →
Smile (2011-06-27 12:16) [21]У меня Live CD всегда под рукой.
А для ноутбуков желательно иметь аналогичную по функциональности USB-флешку
← →
SQLEXPRESS (2011-06-27 12:17) [22]
> antonn © (27.06.11 12:05) [20]
может быть
но я писал про 80% случаев, а они - подмена шела.
сафемоде именно в режиме цмд , не запускает шелл
← →
antonn © (2011-06-27 12:22) [23]
> У меня Live CD всегда под рукой.
> А для ноутбуков желательно иметь аналогичную по функциональности
> USB-флешку
да у меня вообще много чего есть, но часто просят "посмотреть" когда или флешки нет под рукой или нетбук в который СД не засунешь :)
> но я писал про 80% случаев, а они - подмена шела.
> сафемоде именно в режиме цмд , не запускает шелл
и что ты сделаешь без прав администратора? в HKLM-то?
нужно сбрасывать пароль/активировать учетку, через сторонную ОС (лайв-сд и тп, я себе bartpe собрал =))
← →
SQLEXPRESS (2011-06-27 12:29) [24]
> что ты сделаешь без прав администратора?
> я себе bartpe собрал =))
я у админа беру барсетку с софтом аптечку его )
там куча дисков для всего
но, в большинстве случаев мне ничего из этого не нужно было :)
прельстившиеся темной стороной программинга, редко сильными бывают
← →
antonn © (2011-06-27 12:34) [25]
> я у админа беру барсетку с софтом аптечку его )
а за мной админ не ходит по пятам, чтобы я у него в любой момент мог взять барсетку с софтом
← →
SQLEXPRESS (2011-06-27 12:38) [26]и за мной не ходит..
А нечего ждать милости от админа - выпросить их у него - вот наша главная задача!
← →
clickmaker © (2011-06-27 13:45) [27]> я у админа беру барсетку с софтом
гламурный админ, однако )
← →
antonn © (2011-06-27 13:55) [28]
> clickmaker © (27.06.11 13:45) [27]
>
> > я у админа беру барсетку с софтом
>
> гламурный админ, однако )
в трико и кепке.
"Слыышь, есть че по софту? А если найду?" =)
← →
Styx (2011-06-27 14:33) [29]В последнее время бродит локер, который, кроме всего прочего, подменяет userinit.exe и taskmgr.exe.
← →
Игорь Шевченко © (2011-06-27 14:42) [30]http://www.administrating.ru/wp-content/uploads/2009/06/Gubarevich_Peter___Windows_XP_and_Server_2003_Installation_Protocol_v1.2__Russia n_.pdf
← →
Smile (2011-06-27 17:42) [31]Удалено модератором
Примечание: Правила читаем и уважаем
← →
Smile (2011-06-27 17:53) [32]Согласен с модератором
← →
Фокс Йовович (2011-06-27 18:21) [33]
> SQLEXPRESS (27.06.11 02:34) [1]
еще в userinit дописывается после запятой
← →
Кто б сомневался © (2011-06-27 21:02) [34]
> Anatoly Podgoretsky © (27.06.11 10:24) [9]
>
> > tesseract (27.06.2011 10:02:08) [8]
>
> Хороший антивирус не так просто отключить даже администратору
Скажите какой pls. Я его отключу за 20 сек даже без админских прав.
← →
Rouse_ © (2011-06-27 21:28) [35]
> Кто б сомневался © (27.06.11 21:02) [34]
> Скажите какой pls. Я его отключу за 20 сек даже без админских
> прав.
Симантек и каспер не отрубают мониторы даже при отключении всего в их настройках. Тесткод наличия монитора простой, производим вызов ядерной функции без прохода kernel-ntdll напрямую через sysenter и смотрим результат, а еще проще после снятия монитора проинспектировать ntdll на счет сплайсинга входных точек функций, это даже более просто...
← →
Rouse_ © (2011-06-27 21:29) [36]Туда-же до кучи Kerio
← →
alexdn © (2011-06-27 21:47) [37]Я последний раз вирус видел в 1917, после того, как правильно научился настраивать NOD32 не видел ни разу!
← →
Anatoly Podgoretsky © (2011-06-27 21:49) [38]> Кто б сомневался (27.06.2011 21:02:34) [34]
McAfee например, у него нет отключения как класс, служба тоже защищена.
Отключить конечно можно, но с кучей усилий. Просто так не отключишь.
← →
antonn © (2011-06-27 22:03) [39]Макафи убивал обычным TerminateProcess() (с админским аккаунтом), корпоратив, точную версию не скажу. После этого рабочая станция значительно увеличивала в скорости.
МСовский так же фактически помирает путем убийства msmpeng.exe, и можно делать что угодно над кем угодно.
← →
Rouse_ © (2011-06-27 22:08) [40]
> alexdn © (27.06.11 21:47) [37]
>
> Я последний раз вирус видел в 1917, после того, как правильно
> научился настраивать NOD32 не видел ни разу!
К нам в бухгалтерию сисадмином пойдешь? Задача будет интересная, бо наши тетки давно уже научились обходить препоны как симантека так и каспера с нодом и категорически ежедневно внедряють на тачку паразита. ;)
Страницы: 1 2 вся ветка
Форум: "Прочее";
Текущий архив: 2011.10.23;
Скачать: [xml.tar.bz2];
Память: 0.54 MB
Время: 0.003 c