после того как поймаете автораннер cо сменного носителя в стиле "привет системе от autorun.inf" быть может и передумаете.."Блокировать автозапуск со сменных носителей" - вот это мне не понравилось) я у ся не ставил)
Чтот париться и делать исключения для дисков, образов и прочего не охото )
- Dr.Web forum
- → Содержание N-Genie
Содержание N-Genie
4 публикаций пользователя N-Genie OpenID:
по типу содержимого
Просмотр информации о пользователе
#427283 Номер: 8353 текст: 4956**** Розовый баннер (решение)
Отправлено по N-Genie в 05 Июль 2010 - 15:05 В: Помощь по лечению
#427269 Номер: 8353 текст: 4956**** Розовый баннер (решение)
Отправлено по N-Genie в 05 Июль 2010 - 14:52 В: Помощь по лечению
У спайдера нет такой опции.
И против всех винлоков не поможет
По крайней мере обезопасит многие машины.
p.s. ПКМ на иконке паучка "Административный режим" , затем там же "SpIDer Guard" -> "Настройки" -> закладка "Проверка" -> внизу "Предотвращение подозрительных действий", поле состоит из трех чекбоксов, "Блокировать автозапуск со сменных носителей", "Запрещать модификацию системного файла HOSTS ", "Запрещать модификацию важных объектов Windows"
#427255 Номер: 8353 текст: 4956**** Розовый баннер (решение)
Отправлено по N-Genie в 05 Июль 2010 - 14:26 В: Помощь по лечению
..в юзеринит и шелл винлоки и прочие оболочные троянцы еще сто лет назад прописывались,..
а защититься от заражения проще простого:
ставим в настройках Spider Guard антивируса Dr.Web все галочки в поле "Предотвращение подозрительных действий" и винлоки идут курить бамбук..
#427232 Номер: 8353 текст: 4956**** Розовый баннер (решение)
Отправлено по N-Genie в 05 Июль 2010 - 13:43 В: Помощь по лечению
Видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
нам нужен 2-ой: winlogon
*как видим отличие только в 1-ой букве (в 1 - с большой; во 2 - с маленькой)
Выбираем папку winlogon - и удоляем её (не перепутайте)
Добавлю от себя.
1. В ветке Winlogon троянец дописывает себя в ключ "Shell" после "Explorer.exe" (аналогичная запись как в фальшивом разделе winlogon), так что надо изменить этот ключ, оставив Explorer.exe и удалив остальное.
2. Проверить Userinit +
3. Проверить hosts находящийся в C:\Windows\System32\Drivers\Etc\ ,если есть подозрительные адреса - удалить эти строчки, а вообще сканер и CureIT детектят изменения в этом файле и восстанавливают его по умолчанию
- Dr.Web forum
- → Содержание N-Genie
- Privacy Policy
- Terms & Rules ·