Опять WinLock

← →
Германн © (2011-06-27 02:29) [0]

В очередной (третий) раз дщерь словила сию гадость. В первых двух случаях нам помог Dr.Web. В этом случае он не помог. Знает ли кто-то другой способ?

← →
SQLEXPRESS (2011-06-27 02:34) [1]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell=Explorer.exe

должно быть

сафемоде ин кмд, тупе regedit анд пресс энтер :)

- 80 % их так садятся

← →
SQLEXPRESS (2011-06-27 02:54) [2]

нет?
из, примерно 7-10 раз, когда меня звали, только один раз была подмена самого експлорера(что считаю почти аналогичным) и один раз другая ветка реестра

← →
SQLEXPRESS (2011-06-27 03:13) [3]

если нужен совет, то он будет таков:
качаем
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=04d26402-3199-48a3-afa2-2dc0b40a73b6

ставится элементарно, гость система ставится как обычный виндовс
прописываем там ип в той же сети
(прошу извнить - клава сломана, экранкой набираю, мышкой)
те если хост система (реальная имеет адрес ) 192.168.0.1
то в той, гостевой, пишем

192.168.0.11, например
и указываем шлюз первой, т.е. 192.168.0.1
так же указываем и днс сервер = ип хост системы (192.168.0.1)

в принципе, все..

теперь запускаем гость систему и творим там все что душе угодно, вплоть до удаления системных папок
что ничего не надо сохранять.

все! при следующем запуске девственно чистая система..

а если не нужен совет, то прошу вернуть все прочитанные буквы назад :)

← →
SQLEXPRESS (2011-06-27 03:17) [4]

>
> теперь запускаем гость систему и творим там все что душе
> угодно, вплоть до удаления системных папок
> что ничего не надо сохранять.

следует читать

теперь запускаем гость систему и творим там все что душе
угодно, вплоть до удаления системных папок
а при завершении работы, на вопрос системы, что сделать с сеансом , прокоммитить или проигнориоать, сказать,
что ничего не надо сохранять.

← →
Дмитрий С © (2011-06-27 05:18) [5]

> SQLEXPRESS (27.06.11 02:34) [1]
>
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
>

а еще можно права у всех забрать на изменение ветки)

← →
MonoLife © (2011-06-27 06:32) [6]

Хотя бы spybot"а какого-нить установить..

← →
SQLEXPRESS (2011-06-27 08:13) [7]

да,
но нет

виртуалка .
там в принципе можно сделать все что угодно.
единственное еще - надо настроить какую нибудь папку на реальной системе, как сетевой диск на виртуальной. (ну надо же куда то сохранять что-то, не до перезагрузки же мп3 всяким жить)
а папку уже в реале настроить на самый полный скан антивирусником. А то есть и такие, что по сетевым шарятся..

зато какой теперь разгул! без антивирусника, по любым сайтам, пусть брандмауэр и браузер оборутся хоть :)

или программа нужна на 1 раз и страшно ставить на реалку..
а тут без проблем! поставил, пусть на 99% знаешь что она с трояном

всегда можно нажать кнопку [Х] и сказать, дескать, нет, не надо коммитить этот запуск.

и все! как будто ничего и не было..

← →
tesseract © (2011-06-27 10:02) [8]

Включить UAC и снести с дщери права админа + использовать блокировку левых сайтов например от SkyDNS. Против шаловливых ручек ни один антивирь не поможет - всё равно отключат.

← →
Anatoly Podgoretsky © (2011-06-27 10:24) [9]

> tesseract (27.06.2011 10:02:08) [8]

Хороший антивирус не так просто отключить даже администратору

← →
boriskb © (2011-06-27 10:24) [10]

> В первых двух случаях нам помог Dr.Web. В этом случае он
> не помог.

Этот?
http://www.freedrweb.com/cureit/?lng=ru

← →
Smile (2011-06-27 10:36) [11]

В первую очередь необходимо отключить Winlock.
Ну, а только потом, лечить и удалять.
Отключить его проще всего вручную.

Для этого:
regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell,
где должно быть указано explorer.exe
и раздел userinit, где должно быть указано
C:\WINDOWS\system32\userinit.exe,
(если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой).
Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
Если есть возможность, то загрузиться в безопасном режиме с поддержкой командной строки, иначе Live CD (Erd Commander, Bart PE и прочие)

← →
QAZ (2011-06-27 10:42) [12]

> Дмитрий С © (27.06.11 05:18) [5]
> а еще можно права у всех забрать на изменение ветки)

а вот это дибильный совет
даже не пытайтесь

← →
QAZ (2011-06-27 10:49) [13]

> В этом случае он не помог.

а в чем это выражается собственно?

← →
antonn © (2011-06-27 11:30) [14]

> сафемоде ин кмд, тупе regedit анд пресс энтер :)

какие все умные :)
а если regedit заблокирован? а в безопасном режиме грузится этот же винлок.

← →
oldman © (2011-06-27 11:46) [15]

> antonn © (27.06.11 11:30) [14]
> какие все умные :)
> а если regedit заблокирован?

AVZ разблокирует...

← →
* © (2011-06-27 11:50) [16]

уже есть boot winlock`и, так что

> какие все умные :)

← →
antonn © (2011-06-27 11:54) [17]

> AVZ разблокирует...

если я запускаю AVZ, значит я уже все сам разблокировал и могу запустить касперского :)

← →
Smile (2011-06-27 11:59) [18]

Странно слышать, что для пользователя "средней руки" удаление Winlock, без каких-либо дополнительных программ, может представлять какую-то проблему
:)

← →
antonn © (2011-06-27 12:01) [19]

нетбук.

← →
antonn © (2011-06-27 12:05) [20]

Ну продолжу мысль: учетная запись "Администратор"/"Administrator" отключена, в безопасном режиме винлок, в "запуск с поддержкой командной строки" при отсутствии прав уповать не стоит. СД-привода нет, сети нет.
Может такая ситуация представлять проблему? Или у всех всегда под рукой загрузочные флешки и usb-приводы?
Обычно проблема зайти в рабочую станцию, а не найти где гадость прописалась.

← →
Smile (2011-06-27 12:16) [21]

У меня Live CD всегда под рукой.
А для ноутбуков желательно иметь аналогичную по функциональности USB-флешку

← →
SQLEXPRESS (2011-06-27 12:17) [22]

> antonn © (27.06.11 12:05) [20]

может быть

но я писал про 80% случаев, а они - подмена шела.
сафемоде именно в режиме цмд , не запускает шелл

← →
antonn © (2011-06-27 12:22) [23]

> У меня Live CD всегда под рукой.
> А для ноутбуков желательно иметь аналогичную по функциональности
> USB-флешку

да у меня вообще много чего есть, но часто просят "посмотреть" когда или флешки нет под рукой или нетбук в который СД не засунешь :)

> но я писал про 80% случаев, а они - подмена шела.
> сафемоде именно в режиме цмд , не запускает шелл

и что ты сделаешь без прав администратора? в HKLM-то?
нужно сбрасывать пароль/активировать учетку, через сторонную ОС (лайв-сд и тп, я себе bartpe собрал =))

← →
SQLEXPRESS (2011-06-27 12:29) [24]

> что ты сделаешь без прав администратора?

> я себе bartpe собрал =))

я у админа беру барсетку с софтом аптечку его )
там куча дисков для всего
но, в большинстве случаев мне ничего из этого не нужно было :)
прельстившиеся темной стороной программинга, редко сильными бывают

← →
antonn © (2011-06-27 12:34) [25]

> я у админа беру барсетку с софтом аптечку его )

а за мной админ не ходит по пятам, чтобы я у него в любой момент мог взять барсетку с софтом

← →
SQLEXPRESS (2011-06-27 12:38) [26]

и за мной не ходит..
А нечего ждать милости от админа - выпросить их у него - вот наша главная задача!

← →
clickmaker © (2011-06-27 13:45) [27]

> я у админа беру барсетку с софтом

гламурный админ, однако )

← →
antonn © (2011-06-27 13:55) [28]

> clickmaker © (27.06.11 13:45) [27]
>
> > я у админа беру барсетку с софтом
>
> гламурный админ, однако )

в трико и кепке.
"Слыышь, есть че по софту? А если найду?" =)

← →
Styx (2011-06-27 14:33) [29]

В последнее время бродит локер, который, кроме всего прочего, подменяет userinit.exe и taskmgr.exe.

http://www.administrating.ru/wp-content/uploads/2009/06/Gubarevich_Peter___Windows_XP_and_Server_2003_Installation_Protocol_v1.2__Russia n_.pdf

← →
Smile (2011-06-27 17:42) [31]

Удалено модератором
Примечание: Правила читаем и уважаем

← →
Smile (2011-06-27 17:53) [32]

Согласен с модератором

← →
Фокс Йовович (2011-06-27 18:21) [33]

> SQLEXPRESS (27.06.11 02:34) [1]

еще в userinit дописывается после запятой

> Anatoly Podgoretsky © (27.06.11 10:24) [9]
>
> > tesseract (27.06.2011 10:02:08) [8]
>
> Хороший антивирус не так просто отключить даже администратору

Скажите какой pls. Я его отключу за 20 сек даже без админских прав.

> Кто б сомневался © (27.06.11 21:02) [34]
> Скажите какой pls. Я его отключу за 20 сек даже без админских
> прав.

Симантек и каспер не отрубают мониторы даже при отключении всего в их настройках. Тесткод наличия монитора простой, производим вызов ядерной функции без прохода kernel-ntdll напрямую через sysenter и смотрим результат, а еще проще после снятия монитора проинспектировать ntdll на счет сплайсинга входных точек функций, это даже более просто...

Туда-же до кучи Kerio

Я последний раз вирус видел в 1917, после того, как правильно научился настраивать NOD32 не видел ни разу!

> Кто б сомневался (27.06.2011 21:02:34) [34]

McAfee например, у него нет отключения как класс, служба тоже защищена.
Отключить конечно можно, но с кучей усилий. Просто так не отключишь.

Макафи убивал обычным TerminateProcess() (с админским аккаунтом), корпоратив, точную версию не скажу. После этого рабочая станция значительно увеличивала в скорости.
МСовский так же фактически помирает путем убийства msmpeng.exe, и можно делать что угодно над кем угодно.

> alexdn © (27.06.11 21:47) [37]
>
> Я последний раз вирус видел в 1917, после того, как правильно
> научился настраивать NOD32 не видел ни разу!

К нам в бухгалтерию сисадмином пойдешь? Задача будет интересная, бо наши тетки давно уже научились обходить препоны как симантека так и каспера с нодом и категорически ежедневно внедряють на тачку паразита. ;)

Опять WinLock Найти похожие ветки