Цитата:
Вот такие "простые" рекомендации у "дяди Жени"
+10
jExOn
Цитата:
помогают
+15
chkmatull
Спасибо
» Windows заблокирован!
Цитата:
+10
jExOn
Цитата:
+15
chkmatull
Спасибо
Сделать бы какой-нибудь батничек или exe файл для того чтобы в KIS все эти настройки вставить автоматом.
Ключ 1: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Ключ 2: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Ключ 3: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Ключ 4: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
Ключ 5: *\SOFTWARE\Policies\*
Ключ 6: *\SOFTWARE\Policies\*\
Ключ 7: *\SOFTWARE\Policies\*\*
Ключ 8: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
Ключ 9: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\
Ключ 10: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\*
Как для группы Слабые ограничения и Слабые ограничения.
Ключ 1: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Ключ 2: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Ключ 3: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Ключ 4: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
Ключ 5: *\SOFTWARE\Policies\*
Ключ 6: *\SOFTWARE\Policies\*\
Ключ 7: *\SOFTWARE\Policies\*\*
Ключ 8: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
Ключ 9: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\
Ключ 10: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\*
Как для группы Слабые ограничения и Слабые ограничения.
gold_boy
существуют файлы конфигурации в которых уже применены настройки AntiWinLock,достаточно только загрузить параметры
существуют файлы конфигурации в которых уже применены настройки AntiWinLock,достаточно только загрузить параметры
Цитата:
существуют файлы конфигурации в которых уже применены настройки AntiWinLock,достаточно только загрузить параметры
А можно поподробнее, где взять эти файлы конфигурации?
gold_boy
ну допустим здесь ,это для 2012 не знаю будут ли они работать на 2011
только смотри там некоторые настройки изменены самой программы,допустим снята галочка с функции-выбирать действие автоматически
наверное можно самому сохранить ту конфигурацию которая тебя устраивает
ну допустим здесь ,это для 2012 не знаю будут ли они работать на 2011
только смотри там некоторые настройки изменены самой программы,допустим снята галочка с функции-выбирать действие автоматически
наверное можно самому сохранить ту конфигурацию которая тебя устраивает
Принесли сегодня ноут с вин7 с локером похожим на Trojan.MBRlock.6, но с бОльшим количеством текста и который не реагирует на лечение mbr и изменение системного времени.
В итоге оказалось что он поразил c:\ntldr
Вылечил заменой с живого ноута.
Не благодарите
В итоге оказалось что он поразил c:\ntldr
Вылечил заменой с живого ноута.
Не благодарите
sevik68
А что так мелко пишешь?
Это очень важная инфа.
Если можно, измени размер шрифта на стандартный.
Только "не благодарите" можно мелким оставить.
А что так мелко пишешь?
Это очень важная инфа.
Если можно, измени размер шрифта на стандартный.
Только "не благодарите" можно мелким оставить.
Теперь надо собрать архивчик с файлами ntldr для всех ОС.
reddestfox
Привычка писать мелким шрифтом, чтобы места меньше занимать
Сабжевый продукт так быстро модифицируется, что не уверен, что кто то успеет использовать мой пост.
Тем более мне просто повезло, что рядом оказался живая копия зараженного ноута, иначе пришлось бы на чем либо ставить вин7 НВ, чтобы выдернуть с нее ntldr или искать в сети.
Как говорит gold_boy теперь надо иметь файлы от всех редакций винды под рукой.
А что дальше?...
Привычка писать мелким шрифтом, чтобы места меньше занимать
Сабжевый продукт так быстро модифицируется, что не уверен, что кто то успеет использовать мой пост.
Тем более мне просто повезло, что рядом оказался живая копия зараженного ноута, иначе пришлось бы на чем либо ставить вин7 НВ, чтобы выдернуть с нее ntldr или искать в сети.
Как говорит gold_boy теперь надо иметь файлы от всех редакций винды под рукой.
А что дальше?...
мдя... скоро лечение будет видимо format+setup 
)
Цитата:
видимо надо, столкнулся что взять userinit для висты home негде было, гугл так сразу и ничего недаёт
) Цитата:
файлы от всех редакций винды под рукой.
видимо надо, столкнулся что взять userinit для висты home негде было, гугл так сразу и ничего недаёт
NaxAlex
format+setup для дома будет лучшим выбором, но частенько эту хрень ловят на служебных компах, на которых стока всего стоит... Настоящая трагедия для всего офиса и его руководства
format+setup для дома будет лучшим выбором, но частенько эту хрень ловят на служебных компах, на которых стока всего стоит... Настоящая трагедия для всего офиса и его руководства
Цитата:
видимо надо, столкнулся что взять userinit для висты home негде было, гугл так сразу и ничего недаёт
кстати если вы про тот синенький локер, то userinit.exe он не удаляет (ему винда не позволит этого сделать ибо он активен), а тупо переименовывает. Нужно искать в той же папке.
sevik68
Цитата:
Цитата:
Вообще-то загрузчик windows 7 именуется как "bootmgr"
Цитата:
вин7
Цитата:
поразил c:\ntldr
Вообще-то загрузчик windows 7 именуется как "bootmgr"
В дистрибутиве XP файл NTLDR лежит в папке I386 А где в дистрибутиве Windows 7 взять его?
576438
я где то писал что c:\ntldr есть загрузчик?
это ваш вольный перевод ntLoader?
а вообще в гугле и даже в яндексе по поводу Trojan.MBRlock достаточно много связи с ntldr
если вас это интересует
Добавлено:
gold_boy
он в install.wim в папке sources
я где то писал что c:\ntldr есть загрузчик?
это ваш вольный перевод ntLoader?
а вообще в гугле и даже в яндексе по поводу Trojan.MBRlock достаточно много связи с ntldr
если вас это интересует
Добавлено:
gold_boy
он в install.wim в папке sources
Цитата:
он в install.wim в папке sources
Чё то там не могу найти NTLDR , можно поконкретнее.
gold_boy
он ВНУТРИ файла install.wim, того который весит 2 с лишним гига
как его распаковать
но это уже выходит за рамки этого топика
он ВНУТРИ файла install.wim, того который весит 2 с лишним гига
как его распаковать
но это уже выходит за рамки этого топика
Я смотрел в install.wim в папке system32 но там его не было, или он лежит в другом месте?
сейчас нет под рукой дистриба, но он там, в какой папке не помню, юзай поиск
sevik68
1) Нет никакой связи между "Trojan.MBRlock" и ntldr по одной простой причине: mbrlock уже подразумевает что троян в нулевом секторе диска, и если вы сотрете весь системный диск со всеми системными файлами (включая ntldr) троян всё равно будет грузиться...
2) На системном диске с установленным Windows 7 или Вистой не должно быть в принципе файла ntldr, независимо от того считаете вы его загрузчиком или нет.
1) Нет никакой связи между "Trojan.MBRlock" и ntldr по одной простой причине: mbrlock уже подразумевает что троян в нулевом секторе диска, и если вы сотрете весь системный диск со всеми системными файлами (включая ntldr) троян всё равно будет грузиться...
2) На системном диске с установленным Windows 7 или Вистой не должно быть в принципе файла ntldr, независимо от того считаете вы его загрузчиком или нет.
Так забавно читать, учитывая, что Trojan.MBRLock есть три модификации, заражающие MBR, IPL и ntldr
Цитата:
файлами ntldr для всех ОС.
а это не забавно читать?
Цитата:
А где в дистрибутиве Windows 7 взять его?
Цитата:
он в install.wim в папке sources
Цитата:
он ВНУТРИ файла install.wim,
Вот забавно.
Курить, до просвещения ! http://en.wikipedia.org/wiki/NTLDR
http://en.wikipedia.org/wiki/Windows_Vista_Startup_Process#winload.exe
http://en.wikipedia.org/wiki/BOOTMGR#Windows_Boot_Manager
Вот я и хотел посмотреть как человек хочет найти файл NTLDR в 7 или Висте, тем более в install.wim
576438
Denn29
gold_boy
Господа, я понимаю, что вас переполняют знания, но вроде здесь ими делятся, а не устраивают суд присяжных
По теме - выяснил, на этих ноутбуках лицушную семерку накатывали на пиратскую ХР, поэтому там были NTLDR, насчет install.wim ступил, признаю, понадеявшись на знание вполне уважаемого ДО СЕГО МОМЕНТА некоего "специалиста". Так што не пинайтесь, учится никогда не поздно
Но факт остается фактом, замена этого злосчастного NTLDR убрала при загрузке банер винлока, поэтому, пост gjf о том, что
Цитата:
есть тоже неубиваемый факт
Denn29
gold_boy
Господа, я понимаю, что вас переполняют знания, но вроде здесь ими делятся, а не устраивают суд присяжных
По теме - выяснил, на этих ноутбуках лицушную семерку накатывали на пиратскую ХР, поэтому там были NTLDR, насчет install.wim ступил, признаю, понадеявшись на знание вполне уважаемого ДО СЕГО МОМЕНТА некоего "специалиста". Так што не пинайтесь, учится никогда не поздно
Но факт остается фактом, замена этого злосчастного NTLDR убрала при загрузке банер винлока, поэтому, пост gjf о том, что
Цитата:
Trojan.MBRLock есть три модификации, заражающие MBR, IPL и ntldr
есть тоже неубиваемый факт
Пипец какой... и как от этого изменения "загрузчика NTFS-раздела" починится? Как детектировать?
NaxAlex
Детект именно того, что в статье - проще всего сейчас через новую версию TDSS Killer. Им же и лечиться. Ключевое слово: новую версию, то есть с офсайта надо перезакачать.
А вообще детектится по наличию хуков браузера через RkU и снятие дампа памяти. Лечить в целом тоже довольно просто - через fixboot в консоли восстановления.
Детект именно того, что в статье - проще всего сейчас через новую версию TDSS Killer. Им же и лечиться. Ключевое слово: новую версию, то есть с офсайта надо перезакачать.
А вообще детектится по наличию хуков браузера через RkU и снятие дампа памяти. Лечить в целом тоже довольно просто - через fixboot в консоли восстановления.
gjf
Благодарю...
И для всех утилита тут...
http://support.kaspersky.ru/faq?qid=208636926 не смотря на то что в заголовке стоит дата 25.05.2011 11:23 файл всё таки имеет дату 04.07.2011
Благодарю...
И для всех утилита тут...
http://support.kaspersky.ru/faq?qid=208636926 не смотря на то что в заголовке стоит дата 25.05.2011 11:23 файл всё таки имеет дату 04.07.2011
Запись ошибочна.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.