|
|
|
|
|
Там не так много места для крипто, тем более, что нужно еще на весть экран пугающую простыню вывесить. |
|
|
|
Принесли сейчас свежий WINLOCK.
С полгода назад подобное чинил - этот свежий, немного отличается. Заражённый файл один, селится в усер-темп, как и раньше, только расширение не .tmp, а .exe, и подменяет не userinit, а explorer. Принцип лечения описан http://netler.ru/pc/trojan-winlock.htm - но это для старых, и требует наличия лайв-винды, которой у меня, например нету (винда у меня живёт отдельно, не зная что такое интернет, антивирусы и гостевые флешки), как нету желания его качать/нарезать.
Пошёл немного другим путём:
1. Найти и подменить файл вируса - я употребил лайв линукса, можно и перецепить диск к другой машинке - искал по дате создания в каталоге усер/темп, подменил на правильный userinit, его соответственно переименовав.
2. Лечение - загрузка больной винды - окна попрошайки нету, диспетчер задач по трём кнопкам доступен - запуск regedit - поиск в реестре по имени файла вируса - явно лишнее удаляется, в shell вписывается на своё место (занятое вирусом) explorer.
3. Перезагрузка - готово. |
|
|
|
AZUS6: Ну а все-таки,как защититься?
1.Отключение автозапуска - хорошо. Но гораздо более лучше - вообще запрет запуска с флэшки. Это делается через Панель управления/Администрирование/Локальная политика безопасности->Политики ограниченного использования программ/Дополнительные правила/Создать правило для пути
Вот для пути типо F:\, G:\ и H:\ (возможные имена флэшек) - "запретить запуск программ". Теперь запустить нельзя будет даже случайно. А если что-то все-таки надо запустить - скопируйте на диск и пожалуйста. Так же запретить запуск программ из папки "C:\Documents and Settings\user\Local Settings\Temporary Internet Files". Не панацея, но полезно. 2.На всех своих флэшках создайте папку AUTORUN.INF, присвойте ей атрибут "системный" и "только для чтения", внутри этой папки поместите любой файл, назначьте ему тоже такие же атрибуты. 3.При открытии флэшки в ФАРе первым делом обращайте внимание: не появилась ли на флэшке "Корзина"? (Recycler, Recycled). Если да - в ней лежит вирус.
4.Не стали ли некоторовые папки скрытыми? Если да - в корне лежит вирус с таким же именем как у скрытой папки. Эти 2 пункта позволяют оценить с чъей машины получен подарок (сразу вспоминайте где были, чего делали. Бывает что вы их удаляете, вынимаете и снова вставляете флэшку - а они снова на месте. Значит вирус прямо на этой машине. Прекрасный индикатор!). 5.Не пользуйтесь флэшками. Пользуйтесь перфокартами. |
|
|
|
А как вообще избавиться от папки Temporary Internet Files? не пользуюсь эксплорером , поэтому и нужды в ней нет, но при каждом удалении (Unlocker-ом ) ,после перезагрузки она появляется снова. Аналогично,теоретически возможно ли избавиться от Корзины (Recycler, Recycled). Не пользуюсь корзиной ,т.к давно уже только ALT+DEL |
|
|
|
А что, даже после удаления ИЕ она всё равно остаётся ? |
|
|
|
Leha_old: Принцип лечения описан http://netler.ru/pc/trojan-winlock.htm - но это для старых, и требует наличия лайв-винды
В большинстве случаев для удаления таких локеров не требуется запуск из под другой системы. Часто достаточно загрузиться в безопасном режиме с поддержкой командной строки, при этом до запуска эксплорера откроется окно консоли откуда можно запустить regedit для поиска автозапуска подозрительных программ или антивирус, кому как удобнее. AZUS6: Не пользуюсь корзиной ,т.к давно уже только ALT+DEL
Может Shift+Del? Можно в свойствах корзины указать что бы файлы удалялись сразу без помещения в корзину. Razaex: А что, даже после удаления ИЕ она всё равно остаётся ?
А разве IE вообще возможно удалить? |
|
|
|
ALT+DEL ЭТО в фаре , проводниковым удалением никогда не пользуюсь,т.к после него инфа легко может быть восстановлена. А FAR затирает файл нулями.
IE можно удалить утилитами типа XPLite. А вот папки-нет.Точнее они удаляются,но при последующим включении появляются снова .,пустые. Видимо файл INDEX.DAT использует не только IE, но и проводник,не зря же его можно удалить только в безопасном режиме.
А кто нибудь пробовал LiteStep ,а проводник отключить нахрен?(есть такой пакет установки ) я пробовал ,не понравился вид рабочего стола (черный слишком),кроме того я не понял как настраивать в этой оболочке ярлыки. |
|
|
|
SAK: А разве IE вообще возможно удалить?
У меня в обычной Вин-ХР, диск из ларька, написано - "копия коробочной версии", Пуск-Панель управления-Установка и удаление программ, появляется в списке. |
|
|
|
Razaex: У меня в обычной Вин-ХР, диск из ларька,
Это был такой мульт. Там были "двое из ларца, одинаковых с лица" . Эти двое делали всё! Даже конфеты жрали за потребителя.
Сказка - ложь! Но в ней намёк. Добрым молодцам урок. © |
|
|
|
Чёт не понял ? С 2007 года несколько раз переустанавливал, не глючит, не виснет, обновления приходят. |
|
|
|
|