Текущий архив: 2011.10.23;
Скачать: CL | DM;
Вниз
Опять WinLock Найти похожие ветки
← →
Германн © (2011-06-27 02:29) [0]В очередной (третий) раз дщерь словила сию гадость. В первых двух случаях нам помог Dr.Web. В этом случае он не помог. Знает ли кто-то другой способ?
← →
SQLEXPRESS (2011-06-27 02:34) [1]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell=Explorer.exe
должно быть
сафемоде ин кмд, тупе regedit анд пресс энтер :)
- 80 % их так садятся
← →
SQLEXPRESS (2011-06-27 02:54) [2]нет?
из, примерно 7-10 раз, когда меня звали, только один раз была подмена самого експлорера(что считаю почти аналогичным) и один раз другая ветка реестра
← →
SQLEXPRESS (2011-06-27 03:13) [3]если нужен совет, то он будет таков:
качаем
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=04d26402-3199-48a3-afa2-2dc0b40a73b6
ставится элементарно, гость система ставится как обычный виндовс
прописываем там ип в той же сети
(прошу извнить - клава сломана, экранкой набираю, мышкой)
те если хост система (реальная имеет адрес ) 192.168.0.1
то в той, гостевой, пишем
192.168.0.11, например
и указываем шлюз первой, т.е. 192.168.0.1
так же указываем и днс сервер = ип хост системы (192.168.0.1)
в принципе, все..
теперь запускаем гость систему и творим там все что душе угодно, вплоть до удаления системных папок
что ничего не надо сохранять.
все! при следующем запуске девственно чистая система..
а если не нужен совет, то прошу вернуть все прочитанные буквы назад :)
← →
SQLEXPRESS (2011-06-27 03:17) [4]
>
> теперь запускаем гость систему и творим там все что душе
> угодно, вплоть до удаления системных папок
> что ничего не надо сохранять.
следует читать
теперь запускаем гость систему и творим там все что душе
угодно, вплоть до удаления системных папок
а при завершении работы, на вопрос системы, что сделать с сеансом , прокоммитить или проигнориоать, сказать,
что ничего не надо сохранять.
← →
Дмитрий С © (2011-06-27 05:18) [5]
> SQLEXPRESS (27.06.11 02:34) [1]
>
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
>
а еще можно права у всех забрать на изменение ветки)
← →
MonoLife © (2011-06-27 06:32) [6]Хотя бы spybot"а какого-нить установить..
← →
SQLEXPRESS (2011-06-27 08:13) [7]да,
но нет
виртуалка .
там в принципе можно сделать все что угодно.
единственное еще - надо настроить какую нибудь папку на реальной системе, как сетевой диск на виртуальной. (ну надо же куда то сохранять что-то, не до перезагрузки же мп3 всяким жить)
а папку уже в реале настроить на самый полный скан антивирусником. А то есть и такие, что по сетевым шарятся..
зато какой теперь разгул! без антивирусника, по любым сайтам, пусть брандмауэр и браузер оборутся хоть :)
или программа нужна на 1 раз и страшно ставить на реалку..
а тут без проблем! поставил, пусть на 99% знаешь что она с трояном
всегда можно нажать кнопку [Х] и сказать, дескать, нет, не надо коммитить этот запуск.
и все! как будто ничего и не было..
← →
tesseract © (2011-06-27 10:02) [8]Включить UAC и снести с дщери права админа + использовать блокировку левых сайтов например от SkyDNS. Против шаловливых ручек ни один антивирь не поможет - всё равно отключат.
← →
Anatoly Podgoretsky © (2011-06-27 10:24) [9]> tesseract (27.06.2011 10:02:08) [8]
Хороший антивирус не так просто отключить даже администратору
← →
boriskb © (2011-06-27 10:24) [10]
> В первых двух случаях нам помог Dr.Web. В этом случае он
> не помог.
Этот?
http://www.freedrweb.com/cureit/?lng=ru
← →
Smile (2011-06-27 10:36) [11]В первую очередь необходимо отключить Winlock.
Ну, а только потом, лечить и удалять.
Отключить его проще всего вручную.
Для этого:
regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell,
где должно быть указано explorer.exe
и раздел userinit, где должно быть указано
C:\WINDOWS\system32\userinit.exe,
(если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой).
Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
Если есть возможность, то загрузиться в безопасном режиме с поддержкой командной строки, иначе Live CD (Erd Commander, Bart PE и прочие)
← →
QAZ (2011-06-27 10:42) [12]
> Дмитрий С © (27.06.11 05:18) [5]
> а еще можно права у всех забрать на изменение ветки)
а вот это дибильный совет
даже не пытайтесь
← →
QAZ (2011-06-27 10:49) [13]
> В этом случае он не помог.
а в чем это выражается собственно?
← →
antonn © (2011-06-27 11:30) [14]
> сафемоде ин кмд, тупе regedit анд пресс энтер :)
какие все умные :)
а если regedit заблокирован? а в безопасном режиме грузится этот же винлок.
← →
oldman © (2011-06-27 11:46) [15]
> antonn © (27.06.11 11:30) [14]
> какие все умные :)
> а если regedit заблокирован?
AVZ разблокирует...
← →
* © (2011-06-27 11:50) [16]уже есть boot winlock`и, так что
> какие все умные :)
← →
antonn © (2011-06-27 11:54) [17]
> AVZ разблокирует...
если я запускаю AVZ, значит я уже все сам разблокировал и могу запустить касперского :)
← →
Smile (2011-06-27 11:59) [18]Странно слышать, что для пользователя "средней руки" удаление Winlock, без каких-либо дополнительных программ, может представлять какую-то проблему
:)
← →
antonn © (2011-06-27 12:01) [19]нетбук.
← →
antonn © (2011-06-27 12:05) [20]Ну продолжу мысль: учетная запись "Администратор"/"Administrator" отключена, в безопасном режиме винлок, в "запуск с поддержкой командной строки" при отсутствии прав уповать не стоит. СД-привода нет, сети нет.
Может такая ситуация представлять проблему? Или у всех всегда под рукой загрузочные флешки и usb-приводы?
Обычно проблема зайти в рабочую станцию, а не найти где гадость прописалась.
← →
Smile (2011-06-27 12:16) [21]У меня Live CD всегда под рукой.
А для ноутбуков желательно иметь аналогичную по функциональности USB-флешку
← →
SQLEXPRESS (2011-06-27 12:17) [22]
> antonn © (27.06.11 12:05) [20]
может быть
но я писал про 80% случаев, а они - подмена шела.
сафемоде именно в режиме цмд , не запускает шелл
← →
antonn © (2011-06-27 12:22) [23]
> У меня Live CD всегда под рукой.
> А для ноутбуков желательно иметь аналогичную по функциональности
> USB-флешку
да у меня вообще много чего есть, но часто просят "посмотреть" когда или флешки нет под рукой или нетбук в который СД не засунешь :)
> но я писал про 80% случаев, а они - подмена шела.
> сафемоде именно в режиме цмд , не запускает шелл
и что ты сделаешь без прав администратора? в HKLM-то?
нужно сбрасывать пароль/активировать учетку, через сторонную ОС (лайв-сд и тп, я себе bartpe собрал =))
← →
SQLEXPRESS (2011-06-27 12:29) [24]
> что ты сделаешь без прав администратора?
> я себе bartpe собрал =))
я у админа беру барсетку с софтом аптечку его )
там куча дисков для всего
но, в большинстве случаев мне ничего из этого не нужно было :)
прельстившиеся темной стороной программинга, редко сильными бывают
← →
antonn © (2011-06-27 12:34) [25]
> я у админа беру барсетку с софтом аптечку его )
а за мной админ не ходит по пятам, чтобы я у него в любой момент мог взять барсетку с софтом
← →
SQLEXPRESS (2011-06-27 12:38) [26]и за мной не ходит..
А нечего ждать милости от админа - выпросить их у него - вот наша главная задача!
← →
clickmaker © (2011-06-27 13:45) [27]> я у админа беру барсетку с софтом
гламурный админ, однако )
← →
antonn © (2011-06-27 13:55) [28]
> clickmaker © (27.06.11 13:45) [27]
>
> > я у админа беру барсетку с софтом
>
> гламурный админ, однако )
в трико и кепке.
"Слыышь, есть че по софту? А если найду?" =)
← →
Styx (2011-06-27 14:33) [29]В последнее время бродит локер, который, кроме всего прочего, подменяет userinit.exe и taskmgr.exe.
← →
Игорь Шевченко © (2011-06-27 14:42) [30]http://www.administrating.ru/wp-content/uploads/2009/06/Gubarevich_Peter___Windows_XP_and_Server_2003_Installation_Protocol_v1.2__Russia n_.pdf
← →
Smile (2011-06-27 17:42) [31]Удалено модератором
Примечание: Правила читаем и уважаем
← →
Smile (2011-06-27 17:53) [32]Согласен с модератором
← →
Фокс Йовович (2011-06-27 18:21) [33]
> SQLEXPRESS (27.06.11 02:34) [1]
еще в userinit дописывается после запятой
← →
Кто б сомневался © (2011-06-27 21:02) [34]
> Anatoly Podgoretsky © (27.06.11 10:24) [9]
>
> > tesseract (27.06.2011 10:02:08) [8]
>
> Хороший антивирус не так просто отключить даже администратору
Скажите какой pls. Я его отключу за 20 сек даже без админских прав.
← →
Rouse_ © (2011-06-27 21:28) [35]
> Кто б сомневался © (27.06.11 21:02) [34]
> Скажите какой pls. Я его отключу за 20 сек даже без админских
> прав.
Симантек и каспер не отрубают мониторы даже при отключении всего в их настройках. Тесткод наличия монитора простой, производим вызов ядерной функции без прохода kernel-ntdll напрямую через sysenter и смотрим результат, а еще проще после снятия монитора проинспектировать ntdll на счет сплайсинга входных точек функций, это даже более просто...
← →
Rouse_ © (2011-06-27 21:29) [36]Туда-же до кучи Kerio
← →
alexdn © (2011-06-27 21:47) [37]Я последний раз вирус видел в 1917, после того, как правильно научился настраивать NOD32 не видел ни разу!
← →
Anatoly Podgoretsky © (2011-06-27 21:49) [38]> Кто б сомневался (27.06.2011 21:02:34) [34]
McAfee например, у него нет отключения как класс, служба тоже защищена.
Отключить конечно можно, но с кучей усилий. Просто так не отключишь.
← →
antonn © (2011-06-27 22:03) [39]Макафи убивал обычным TerminateProcess() (с админским аккаунтом), корпоратив, точную версию не скажу. После этого рабочая станция значительно увеличивала в скорости.
МСовский так же фактически помирает путем убийства msmpeng.exe, и можно делать что угодно над кем угодно.
← →
Rouse_ © (2011-06-27 22:08) [40]
> alexdn © (27.06.11 21:47) [37]
>
> Я последний раз вирус видел в 1917, после того, как правильно
> научился настраивать NOD32 не видел ни разу!
К нам в бухгалтерию сисадмином пойдешь? Задача будет интересная, бо наши тетки давно уже научились обходить препоны как симантека так и каспера с нодом и категорически ежедневно внедряють на тачку паразита. ;)
← →
alexdn © (2011-06-27 22:21) [41]> Rouse_ © (27.06.11 22:08) [40]
> научились обходить препоны как симантека так и каспера с
> нодом и категорически ежедневно внедряють на тачку паразита.
> ;)
По рукам им, они его наверное с собой в коробочке приносят, чтоб робочий день укорачивать!:)
← →
Rouse_ © (2011-06-27 22:27) [42]Ога, щас я им по рукам, а потом за ЗП не подходи, типа обиделись? Ненуегонафих, тут системный адм... подход нужен :)
← →
Anatoly Podgoretsky © (2011-06-27 23:41) [43]> antonn (27.06.2011 22:03:39) [39]
Значит у тебя McAfee не настроен, нормально настроеный убить не удастся.
← →
Германн © (2011-06-27 23:43) [44]Почти сутки уже LiveCD трудится, а прошел только 61%
(((
← →
alexdn © (2011-06-27 23:54) [45]> Германн © (27.06.11 23:43) [44]
не проще было слить нужную инфу и форматнуть? за вечер можно всё обратно поставить.
← →
Германн © (2011-06-28 00:12) [46]
> не проще было слить нужную инфу и форматнуть? за вечер можно
> всё обратно поставить.
>
Может и проще. Но у дочки есть еще нетбук и она пока сидит на нем. Так что интерес сейчас чисто спортивный. :)
← →
Smile (2011-06-28 09:15) [47]> Германн © (27.06.11 23:43) [44]
> Почти сутки уже LiveCD трудится, а прошел только 61%
> (((
Если не секрет над чем сутки "трудится" Live CD?
← →
Inovet © (2011-06-28 09:17) [48]> [47] Smile (28.06.11 09:15)
> Если не секрет над чем сутки "трудится" Live CD?
Над винтом, надо думать.
← →
Anatoly Podgoretsky © (2011-06-28 09:25) [49]Касперского наверно запустил, это минимум на сутки
← →
Smile (2011-06-28 09:49) [50]Видимо Германн не читает ветку :(
Winlock сначала следует удалить (причем вручную это очень просто, поработав с реестром), а только потом уже лечить.
Герман, к сожалению, не сообщил удалил ли он Winlock.
Похоже, что нет, иначе, не было бы никакой необходимости в Live CD.
Первое решение проблемы было предложено еще в SQLEXPRESS (27.06.11 02:34) [1]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и как дополнение
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell,
где должно быть указано explorer.exe
и раздел userinit, где должно быть указано
C:\WINDOWS\system32\userinit.exe,
Если с этим возникают какие-то проблемы, о них следует написать в ветке
← →
QAZ (2011-06-28 10:29) [51]
> Видимо Германн не читает ветку :(
разве мастер делфи способен победить винлок? ведь большинство программистов даже не знает как работает винда
← →
Германн © (2011-06-28 13:13) [52]
> Smile (28.06.11 09:49) [50]
>
> Видимо Германн не читает ветку :(
> Winlock сначала следует удалить (причем вручную это очень
> просто, поработав с реестром)
Ну да, ну да. И Германн - чукча и WinLock - не проблема.
← →
QAZ (2011-06-28 14:09) [53]WinLock - не проблема, WinCrypt - проблема.
← →
Smile (2011-06-28 14:13) [54]> Германн © (28.06.11 13:13) [52]
> WinLock - не проблема
Это, действительно, именно так.
Я в Smile (27.06.11 17:42) [31] дал ссылку на мои самописные исходники Winlock (3.5 Кбт).
Я доволен, что модераторы удалили этот мой пост, хотя надеялся, что анализ исходников, мог бы помочь в борьбе (удалении) этой "бяки". Ведь, по существу, это не вирус. Поэтому всяким антивирусам сложно их определять.
Ну, что делают подобные программы? Блокируют для пользователей:
- диспетчер задач (реализовано у многих сисадминов),
- запуск regedit (аналогично),
- нештатное завершение своего приложения
Где здесь признаки "вируса"?
А троянов, существующие антивирусы определяют и лечат достаточно успешно.
Интересуют результаты работы с Live CD, если не затруднит
← →
Smile (2011-06-28 14:26) [55]Иногда приводят в умиление советы типа:
alexdn © (27.06.11 23:54) [45]
не проще было слить нужную инфу и форматнуть? за вечер можно всё обратно поставить
Чувствуется "системный" подход
То есть не устранять причину, а ...
:)
← →
Anatoly Podgoretsky © (2011-06-28 14:32) [56]> Smile (28.06.2011 14:26:55) [55]
Системней некуда, по определению скомпроментированая система должна быть
изничтожена и уставновлена с нуля. Все остальное рулетка.
← →
Smile (2011-06-28 14:41) [57]> Anatoly Podgoretsky © (28.06.11 14:32) [56]
Мое мнение: не вполне согласен.
Скомпроментирована не ОС.
Это все действия пользователя.
Не своевременное обновление Windows, антивирусов, фаерволов и другого security софта.
Неужели, если дети (не дай бог) ежедневно (или еженедельно) будут ловить вредоносное ПО, всегда следует перустанавливать ОС?
В общем, утверждение: система должна быть изничтожена и уставновлена с нуля, не достатоно убедительно.
С уважением ...
← →
Anatoly Podgoretsky © (2011-06-28 14:46) [58]> Smile (28.06.2011 14:41:57) [57]
Кто говорит об инсталяции, я лично об восстановление из образа. Главное не
оставлять недолеченую, изуродованую систему. Восстановление быстрее некуда,
самое быстрое и экономичное. Вместо того чтобы убить кучу времени на поиск и
лечение, с сомнительным результатом.
← →
Smile (2011-06-28 15:39) [59]> Anatoly Podgoretsky © (28.06.11 14:46) [58]
Отходил :(
Полностью поддерживаю такой подход.
То есть периодическое сохранение образа системы.
Ну, и backup остального никому и никогда не вредил
:)
← →
Smile (2011-06-28 15:41) [60]Германн, не спишь?
Просвещай нас периодически чем занимается твой Live CD, и в какой стадии сейчас находится?
← →
alexdn © (2011-06-28 15:50) [61]> Smile (28.06.11 15:41) [60]
> Германн, не спишь?
> Просвещай нас периодически чем занимается твой Live CD,
> и в какой стадии сейчас находится?
в мусорке скорее всего..).
← →
Live CD (2011-06-28 20:15) [62]жжжжж
до окончания процесса осталось 13часов 35 минут
← →
Германн © (2011-06-28 22:03) [63]
> в какой стадии сейчас находится?
>
Уже часов 5 показывает прогресс 97%
← →
Inovet © (2011-06-28 22:36) [64]> [63] Германн © (28.06.11 22:03)
> Уже часов 5 показывает прогресс 97%
Какой-нить архив тестит или образ. Так нашёл уже что-нибудь в 97%?
← →
Германн © (2011-06-29 01:22) [65]
> Какой-нить архив тестит или образ.
Не. Похоже это глюк самого LiveCD. Сначала он туеву хучу времени проверял диск /WIN/C:, а теперь проверяет тот же самый диск, но как /mnt/disk/sda1
Когда закончит (и если закончит) отпишу им в техподдержку. Пусть разбираются со своими "образами".
← →
Германн © (2011-06-29 04:26) [66]
> Smile (28.06.11 14:13) [54]
>
> > Германн © (28.06.11 13:13) [52]
> > WinLock - не проблема
>
> Это, действительно, именно так.
> Я в Smile (27.06.11 17:42) [31] дал ссылку на мои самописные
> исходники Winlock (3.5 Кбт).
>
И да и нет.
Не хочу продолжать рассуждения. Дабы не усугублять.
← →
QAZ (2011-06-29 11:37) [67]
> Не хочу продолжать рассуждения. Дабы не усугублять.
а что автор хотел?
из всех вариантов выбрал самый простой\тупой в виде антивира загрузочного
на контакт не идет,никого не слушает...
← →
Омлет © (2011-06-29 12:23) [68]> В очередной (третий) раз дщерь словила сию гадость.
Пусть сама лечит.
← →
Германн © (2011-06-29 14:10) [69]
> alexdn © (27.06.11 23:54) [45]
>
> > Германн © (27.06.11 23:43) [44]
> не проще было слить нужную инфу и форматнуть? за вечер можно
> всё обратно поставить.
>
Другого выхода действительно не вижу.
Страницы: 1 2 вся ветка
Текущий архив: 2011.10.23;
Скачать: CL | DM;
Память: 0.65 MB
Время: 0.009 c
