Ещё одна бяка!

Тема в разделе "Вирусы и другие вредоносные программы", создана пользователем serg155, 12 сен 2009.

  1. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Очень годная прога. Рекомендую.
    Пойду тоже почитаю, что же там такое интересное.
     
  2. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Кхм, мне кажется, Windows-утилиты Sysinternals: AutoRuns и Программа AutoRuns для Windows всё же ссылаются на разные ресурсы.

    Да и у вирусов фамилию уже никто не спрашивает, поэтому "пара мест", откуда может появиться вирус А, могут быть бесполезны, когда появится вирус В. Я вообще не понимаю радостных воплей по поводу удаления этой строчки из автозагрузки. И при этом нет ни слова о том, что найден тот, кто её туда записал. То есть последствия заражения обнаружены, а причина - нет. Готов гарантировать, что в системе ещё сидит нечисть, которая вполне может восстановить удалённую запись.

    По количеству автозагружаемых мест вопрос не самый простой, как может показаться, но и не принципиальный в количественном отношении, если уж на то пошло. Если считать честно, то есть именно автозагрузку, чтобы программа запустилась сама при старте операционной системы (пусть даже в тех ключах реестра, что уже тут мелькали), а не в результате определённых валидных действий пользователя (типа BHO или подмены диспетчера задач в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe), то можно навскидку набрать точно больше десятка вариантов: Run, RunOnce, RunServices, RunServicesOnce, RunOnceEx, Services (это всё умножаем на 2, так как имеется HKLM и HKCU), User\Startup, All Users\Startup, AppInit_DLLs, userinit, Shell, Winlogon Notify, Task Scheduler (если создать таск на загрузку), Sidebar, разные пережитки прошлого, типа win.ini и system.ini. Если сильно поднапрячься, то можно вспомнить и ещё, но вроде 20 штук уже набралось.
     
    1 человеку нравится это.
  3. kopa Активный участник

    Регистрация:
    6 апр 2009
    Сообщения:
    249
    Симпатии:
    94
    Провайдер:
    Видикон
    самые любимые места всякой гадости, когда комп вообще не грузится, помогал ERD commander, эта система загружается прямо с подключенным реестом пострадавшего

    ERD commander
    Разработчик: Microsoft Corporation

    а не какие то сыроляпные live сборки :)
     
  4. romul Супер-Модератор Команда форума

    Регистрация:
    20 янв 2008
    Сообщения:
    4.231
    Симпатии:
    1.081
    Провайдер:
    Другой
    Этого фамилию знают многие, Conficker. Называется задолбаешься вычищать автозагрузку. :)
    В вашем споре все таки позиция Grand Father мне более близка. Если удалить причину, то все остальные чистки - пустая трата времени, лишнее. Если тупо удалить все AutoRun, то в последующем специалисту будет сложнее найти причину и работы будут более дорогостоящие. :)
     
  5. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    С библиотекой, прописанной в AppInit_DLLs, комп будет грузиться. Просто в этом случае зараза инжектируется абсолютно во все процессы, как работающие, так и заново запущенные. Причем это такое палевное место, что инжект происходит даже в безопасном режиме. Поэтому, если после загрузки в Safe Mode, в системе заметна какая-то пакость, то первым делом надо смотреть именно туда.

    А LiveCD потребуется только при полной подмене Shell, т.е. когда оттуда удалена ссылка на explorer.exe, а не приписано что-то ещё. Раньше так постоянно развлекались некоторые винлокеры, которые вместо приветствия бедного пользователя жалобно просили денег. Ну, и ERD незаменим при восстановлении MBR. Вот, кстати, можно ещё записать один способ автозагрузки, который даже не детектируется в autoruns.
     
  6. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Ковыряю сейчас ERD 2005 и не вижу, каким образом из него можно восстановить MBR.
     
  7. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    2005-ый не видел, у меня у самого 2008-й. Да и тем уже давно не пользовался. Но данная возможность есть в разделе Disk Commander, если ничего не путаю.
     
  8. Lestok Новичок

    Регистрация:
    28 авг 2009
    Сообщения:
    1.141
    Симпатии:
    195
    Провайдер:
    Мультинекс
    Насколько я в курсе он для Vista.
     
  9. Grand Father удаляю вирусы

    Регистрация:
    3 мар 2007
    Сообщения:
    1.171
    Симпатии:
    174
    Провайдер:
    Другой
    Ну, не знаю :) Я в своё время использовал и на XP, и на семёрке. На Win 7 он точно работает, использовал последний раз в начале мая как раз для восстановления MBR, вычищая буткит.
     

Пользователи просматривающие тему (Пользователей: 0, Гостей: 0)