Перейти к содержимому

  2. Содержание N-Genie

Содержание N-Genie

4 публикаций пользователя N-Genie OpenID:


по типу содержимого

Просмотр информации о пользователе

Сортировать по:                Порядок  

#427283 Номер: 8353 текст: 4956**** Розовый баннер (решение)

Отправлено по N-Genie в 05 Июль 2010 - 15:05 В: Помощь по лечению

"Блокировать автозапуск со сменных носителей" - вот это мне не понравилось) я у ся не ставил)
Чтот париться и делать исключения для дисков, образов и прочего не охото )

после того как поймаете автораннер cо сменного носителя в стиле "привет системе от autorun.inf" ;) быть может и передумаете..


#427269 Номер: 8353 текст: 4956**** Розовый баннер (решение)

Отправлено по N-Genie в 05 Июль 2010 - 14:52 В: Помощь по лечению

У спайдера нет такой опции.

И против всех винлоков не поможет


По крайней мере обезопасит многие машины.

p.s. ПКМ на иконке паучка "Административный режим" , затем там же "SpIDer Guard" -> "Настройки" -> закладка "Проверка" -> внизу "Предотвращение подозрительных действий", поле состоит из трех чекбоксов, "Блокировать автозапуск со сменных носителей", "Запрещать модификацию системного файла HOSTS ", "Запрещать модификацию важных объектов Windows"


#427255 Номер: 8353 текст: 4956**** Розовый баннер (решение)

Отправлено по N-Genie в 05 Июль 2010 - 14:26 В: Помощь по лечению

ну людям искать в лом, слишком много букв.. терминов.. форум ближе -)
..в юзеринит и шелл винлоки и прочие оболочные троянцы еще сто лет назад прописывались,..
а защититься от заражения проще простого:
ставим в настройках Spider Guard антивируса Dr.Web все галочки в поле "Предотвращение подозрительных действий" и винлоки идут курить бамбук..


#427232 Номер: 8353 текст: 4956**** Розовый баннер (решение)

Отправлено по N-Genie в 05 Июль 2010 - 13:43 В: Помощь по лечению

Видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
нам нужен 2-ой: winlogon
*как видим отличие только в 1-ой букве (в 1 - с большой; во 2 - с маленькой)
Выбираем папку winlogon - и удоляем её (не перепутайте)


Добавлю от себя.
1. В ветке Winlogon троянец дописывает себя в ключ "Shell" после "Explorer.exe" (аналогичная запись как в фальшивом разделе winlogon), так что надо изменить этот ключ, оставив Explorer.exe и удалив остальное.
2. Проверить Userinit +
3. Проверить hosts находящийся в C:\Windows\System32\Drivers\Etc\ ,если есть подозрительные адреса - удалить эти строчки, а вообще сканер и CureIT детектят изменения в этом файле и восстанавливают его по умолчанию



  1. Dr.Web forum
  2. Содержание N-Genie
  3. Privacy Policy
  4. Terms & Rules ·