Перейти к содержимому


N-Genie

Дата рег: 08 Апр 2010
Оффлайн Был(а) онлайн: Авг 22 2019 19:19
-----

Сообщения пользователя

В теме:Номер: 8353 текст: 4956**** Розовый баннер (решение)

05 Июль 2010 - 15:05

"Блокировать автозапуск со сменных носителей" - вот это мне не понравилось) я у ся не ставил)
Чтот париться и делать исключения для дисков, образов и прочего не охото )

после того как поймаете автораннер cо сменного носителя в стиле "привет системе от autorun.inf" ;) быть может и передумаете..

В теме:Номер: 8353 текст: 4956**** Розовый баннер (решение)

05 Июль 2010 - 14:52

У спайдера нет такой опции.

И против всех винлоков не поможет


По крайней мере обезопасит многие машины.

p.s. ПКМ на иконке паучка "Административный режим" , затем там же "SpIDer Guard" -> "Настройки" -> закладка "Проверка" -> внизу "Предотвращение подозрительных действий", поле состоит из трех чекбоксов, "Блокировать автозапуск со сменных носителей", "Запрещать модификацию системного файла HOSTS ", "Запрещать модификацию важных объектов Windows"

В теме:Номер: 8353 текст: 4956**** Розовый баннер (решение)

05 Июль 2010 - 14:26

ну людям искать в лом, слишком много букв.. терминов.. форум ближе -)
..в юзеринит и шелл винлоки и прочие оболочные троянцы еще сто лет назад прописывались,..
а защититься от заражения проще простого:
ставим в настройках Spider Guard антивируса Dr.Web все галочки в поле "Предотвращение подозрительных действий" и винлоки идут курить бамбук..

В теме:Номер: 8353 текст: 4956**** Розовый баннер (решение)

05 Июль 2010 - 13:43

Видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
нам нужен 2-ой: winlogon
*как видим отличие только в 1-ой букве (в 1 - с большой; во 2 - с маленькой)
Выбираем папку winlogon - и удоляем её (не перепутайте)


Добавлю от себя.
1. В ветке Winlogon троянец дописывает себя в ключ "Shell" после "Explorer.exe" (аналогичная запись как в фальшивом разделе winlogon), так что надо изменить этот ключ, оставив Explorer.exe и удалив остальное.
2. Проверить Userinit +
3. Проверить hosts находящийся в C:\Windows\System32\Drivers\Etc\ ,если есть подозрительные адреса - удалить эти строчки, а вообще сканер и CureIT детектят изменения в этом файле и восстанавливают его по умолчанию