Можно, каким либо образом, отключить функцию перезагрузки, для того что бы зловред самостоятельно не перезагружал систему?
Можно, каким либо образом, отключить функцию перезагрузки, для того что бы зловред самостоятельно не перезагружал систему?
Не знаю поможет ли, но... Отключить службу Планировщик задач (Task Scheduler).
t.A.T.u.
Игорь, гляньте здесь.
Всё-таки с LiveCD, наверное, попроще будет зловреда того прищучить.
paul-13, разве что, если попадутся зловреды, работающие через задания планировщика.
Я не в плане лечения, а в плане превентивной меры, в свете последних событий на вирусном фронте.
То есть, мы рассматриваем случай до заражения.
С пользователем разобраться можно, в крайнем случае связать руки, а вот каким образом зловред производит перезагрузку и как не дать ему это сделать?
Тут у меня ешё одна мысль:
Выставить в BIOS приоритет загрузки с диска, вставить в привод LiveCD, и если в процессе гуляния по интернету, зловред неожиданно перезагрузит систему, то произойдёт загрузка с LiveCD.
Что это даёт, ну во первых, уменьшит стресс, что уже не мало.
Второе, не даст зловреду окопаться в системе.
Третье, даст возможность спасти важные данные.
Ну и на конец, просканировать систему и попытаться найти вредителя.
(Если привода два, то один постоянно задействовать под LiveCD)
Конечно способ неидеален, неудобно, каждый раз, перед выключением компа, вынимать диск, но всё таки.
Хотелось бы услышать мнения по этому поводу.
Последний раз редактировалось Игорь; 15.02.2010 в 17:54.
Игорь,
В плане превентивных мер и даже в свете последних событий на вирусном фронте, держать вот так диск "в засаде" - далеко не фонтан. Да и неужто "эфир" настолько кишит зловредами-"перезагружальщиками"?
А так, в принципе, чтобы избежать "дискотеки" можно сделать скрипт, переключающий при незапланированном ребуте на вариант загрузки PE-системы с жёсткого диска.
- можно остановить перезагрузку командой shutdown -a
Центр справки и поддержки(C)ShutdownПозволяет выключать или перезапускать локальный или удаленный компьютер. Использование без параметров команды shutdown приведет к выходу из системы текущего пользователя.
Синтаксис
shutdown [{-l|-s|-r|-a}] [-f] [-m [\\имя_компьютера]] [-t xx] [-c "сообщение"] [-d[u][p]:xx:yy]
Параметры
-l
Осуществляет выход текущего пользователя из системы (также используется по умолчанию). -m имя_компьютера имеет приоритет.
-s
Выключает локальный компьютер.
-r
Выполняет перезагрузку после выключения.
-a
Прерывает выключение. Игнорируются все параметры, кроме -l и имя_компьютера. Параметр -a можно использовать только в течение интервала таймаута.
-f
Принудительно закрывает выполняющиеся приложения.
-m [\\имя_компьютера]
Указывает компьютер, который требуется выключить.
-t xx
Устанавливает таймер завершения работы системы на xx секунд. По умолчанию это время составляет 20 секунд.
-c "сообщение"
Задает сообщение, выводящееся в области «Сообщение» в окне «Завершение работы системы». Можно использовать до 127 знаков. Текст сообщения должен быть заключен в прямые кавычки.
-d [u][p]:xx:yy
Отображает перечень кодов причины выключения. В следующей таблице перечислены различные значения. Значение Описание
u Указывает код пользователя
p Указывает код планового выключения
xx Указывает основной код причины (0-255)
yy Указывает вспомогательный код причины (0-65536)
/?
Отображает справку в командной строке.
Примечания
Если указывается основной и вспомогательный коды причины, необходимо предварительно определить эти коды на каждом компьютере, на котором планируется использовать конкретный код. Если коды причины не определены на конечном компьютере, программа «Просмотр событий» не сможет занести в журнал правильный текст причины.
Примеры
Чтобы выключить сервер \\MyServer через 60 секунд, принудительно закрыть выполняющиеся приложения, перезагрузить компьютер после выключения, указать код пользователя, указать что выключение является плановым, занести в журнал основной код причины 125 и вспомогательный код причины 1, введите:
shutdown -r -f -m \\MyServer -t 60 -d up:125:1
С уважением,
Alex Plutoff
А. ПЛАТОВ
Спрошу более конкретно, использует зловред shutdown.exe или перезагружает своими силами?
Остановить перезагрузку командой shutdown -a можно, а как сделать, что бы она вообще не начиналась?
Зловред [обычно] действует своими силами. Продвинутый зловред может вообще инициировать синий экран, если найдёт нужным противодействовать антивирусу.
- в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer создать DWORD параметр с именем NoClose и значением равным 1
...вот только после перезагрузки как будете выключать свой ПК?
Добавлено через 53 минуты
P.S. - кстати, это далеко не всем зловредам мешает выполнить reboot
Последний раз редактировалось Alex Plutoff; 16.02.2010 в 09:10. Причина: Добавлено
С уважением,
Alex Plutoff
А. ПЛАТОВ
Игорь,shutdown -a подействует только на отложенную перезагрузку/выключение.Остановить перезагрузку командой shutdown -a можно,
как как перестать сидеть под АДМИНОМ!., и перезагрузка зловреду просто не поможет! . ибо он окопаться не сможет, далее профиля пользователяа как сделать, что бы она вообще не начиналась?
ЗЫ и я слабо понимаю нафига вообще перезагрузка зловреду? окопатся в системе и установить и запустить драйвера, можно и без перезагрузки.
ИМХО держать LiveCd в приводе - паранойя. А почему бы просто не переименовать скажем в shootdown1.exe
Смысл? Современные зловреды его не используют.
Если абстрагироваться от абсурдности целей и задач, а также принять в расчет экономию дисков, то можно прописать дефолтной системой какую-то заглушку. Как вариант - установить на хард "консоль восстановления" или ос Колибри. По крайней мере, загрузка будет не такой долгой.
Поскольку неофиты как-то разобрались с PE (в смысле лив-сиди), предлагаю сделать следующий шаг к познанию мира. Например, подрихтовать упомянутую консоль восстановления (recovery console).
Сей инструмент таит в себе множество скрытых возможностей. Для того, чтобы ими воспользоваться, достаточно перепилить драйвер spcmdcon.sys
Точнее, заменить его своим собственным. Эксперименты показали, что такой подход (в ряде случаев) успешно конкурирует с WinPE и BootCleaner. Консоль с харда грузится заметно быстрее любого WinPE (даже установленного на тот же хард). При этом не теряется главное приемущество WinPE - офффлайн. В крайнем случае можно грузиться с внешнего носителя, чтобы исключить порченую mbr etc.
Некоторую трудность представляет обесечение интерактивного режима, но, британские ученые работают над этим.
Насколько это противоречит лицензии МС, судить не берусь
antanta,
Это какие-то неправильные пчёлы!.. (с)Эксперименты показали, что такой подход (в ряде случаев) успешно конкурирует с WinPE и BootCleaner. Консоль с харда грузится заметно быстрее любого WinPE (даже установленного на тот же хард).
Результаты эксперимента - консоль и образ PE-сборки на харде:
время загрузки RC (~8 MB) - 38 с, PE нано-сборки (28 MB) - 25 c.
Заметим при этом, что в PE-сборке работают: файлменеджер, редактор реестра, HJ, AVZ, uVS, обе версии курита и мн.др., в т.ч. с реестром удалённой системы.
Насколько жадность M$ противоречит необходимости создания удобной мини-системы для аварийно-восстановительных и антивирусных работ судить не берусь.
Предполагаемое решение иногда будет удобнее. В основном - в тех случаях, когда точно знаешь, что нужно сделать. Кстати, есть еще BlueCon. Только цена...
Иногда хочется быстро подправить реестр, чтобы обеспечить возможность подключиться по сетке до входа пользователя в систему. С административными шарами и прочими прелестями.
Ясное дело, что на панацею не тянет. "Не догоню, так согреюсь".