-
Junior Member
- Вес репутации
- 53
Универсальное решение???
Почти безотказное решение против почти всех вирусов.
Как только приходит понимание того что на комп проникла какая-то зловредина (будь то появившееся окно с непристойностями во весь экран, или неожиданно возникший автозапуск на флешке), как можно скорее жмём reset (тот что на системнике, а не пуск-перезагрузка), и потом - "загрузка последней удачной конфигурации". Реестр будет восстановлен, вирус больше не запустится и нам останется только вынести труп (удалить само тело).
Есть, конечно, вирусы, уничтожающие даже информацию для восстановления, но таких мало. Поэтому неминуем вин. Непонятно только одно - почему винлоки до сих пор живы? Казалось бы, всё просто...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 60
Извиняюсь,а восстановление системы,должно быть включено?
-
Junior Member
- Вес репутации
- 53
Сообщение от
chap
Извиняюсь,а восстановление системы,должно быть включено?
Это не восстановление системы, а восстановление реестра. Вещи, между собой никак не пересекающиеся. Windows запоминает свои настройки каждый раз, в момент выключения. А в данном случае никакого выключения не будет, моментальный reset. Поэтому останутся настройки с прошлого сеанса... А в прошлом "сеансе" вирусов ещё не было. Вот.
-
Junior Member
- Вес репутации
- 60
Да,просто и со вкусом.Спасибо за разъяснения.
-
Сообщение от
Postscripter
Вещи, между собой никак не пересекающиеся. Windows запоминает свои настройки каждый раз, в момент выключения.
Как насчет программ, которые уже успели запуститься?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
-
-
Postscripter, к замечаниям Алекса остается добавить, что манипуляции с LastKnownGoodConfiguration затрагивают только настройки, определяемые в ветках ContolSetXXX. А не весь реестр.
Если бы я писал свой зловредный драйвер, я бы прописал его во всех сетах, как обычно и делают вирьмейкеры. Да еще бы добавил где-то его установщик, по ситуации. То есть, Ваш способ стоит помнить, как возможный вариант решения каких-то проблем. Но, универсальным его назвать трудно.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
PavelA
Как насчет программ, которые уже успели запуститься?
Вот они-то больше и не запустятся. Неоткуда будет, хотя сам файл останется.
А если это файловый вирус?
От одного файла мало толку. Его ещё нужно где-то прописать.
Или вирус, который пропатчил или подменил системный драйвер?
А вот если подменил - тогда, как говорится, gopa.exe ... ...
antanta невероятно, но факт [не повторять в домашних условиях] - удалил ключ software почти полностью, потыкал, убедился что ничего не работает жмякнул rezet. После перезагрузки появился как миленький, без всякого восстановления... Неужели это действует только с virtualbox?
Добавлено через 6 минут
Какая-то белая полоска внизу экрана (при запуске) взяла и восстановила всю ветку...
Последний раз редактировалось Postscripter; 06.07.2010 в 00:13.
Причина: Добавлено
-
Сообщение от
Postscripter
От одного файла мало толку. Его ещё нужно где-то прописать.
Ух ты
Left home for a few days and look what happens...
-
-
Junior Member
- Вес репутации
- 53
А что? )))) Ну хотя да, не обязательно... можно значок красивый прицепить и положить на рабочий стол. И автозагрузку не трогать
-
Junior Member
- Вес репутации
- 60
Судя из дискуссии,лучше бекапа, пока ничего нет?
-
Сообщение от
Postscripter
Почти безотказное решение против почти всех вирусов.
Как только приходит понимание того что на комп проникла какая-то зловредина (будь то появившееся окно с непристойностями во весь экран, или неожиданно возникший автозапуск на флешке), как можно скорее жмём reset (тот что на системнике, а не пуск-перезагрузка), и потом - "загрузка последней удачной конфигурации". Реестр будет восстановлен, вирус больше не запустится и нам останется только вынести труп (удалить само тело).
Есть, конечно, вирусы, уничтожающие даже информацию для восстановления, но таких мало. Поэтому неминуем вин. Непонятно только одно - почему винлоки до сих пор живы? Казалось бы, всё просто...
Вот почему я всегда говорю - чтобы стать вирусологом, нужно сначала поймать и изучить некоторое количество малварей (для начала 2-3 тыс поймать и изучить, для понимания картины - тыщ 30-50). Тогда чудо-методики будут казаться не таким чудом и не такими методиками ... в данном случае:
1. есть масса зверей, которые визуально не проявляют своего поведения, вообще и никак (особенно в стадии внедрения в систему). Это к слову сказать типовое поведение зловреда, исключения - это блокираторы и тупые флеш-червяки, ракладывающие себя по все доступным дискам по таймеру. Пример - ворующий пароли троян (запустился, данные собрал, кому надо послал, самоуничтожился), другой пример - шпион (в систему внедрился и сидит тихонечко, ждет скажем момента, когда юзер введет номер кредитки в известную зверю формочку и нажмет "отправить"), типовой бот (сидит потихоньку и творит то, что ему прикажут - скрытность для него основное).
2. множество зловредов "многоступенчатые" (т.е. через эксплоит попадает Downloader, он что-то выкачивает, оно что-то тоже выкачивает ... - процесс может идти долго и незаметно). Равно как многие вымогатели не такие дураки, чтобы немедленно вымогать - они внедрятся в систему, и проявятся например после перезагрузки на следующий день
3. есть куча зловредов, которые заражают системные файлы или патчат их (самое смешное с патчем - типовой распространенный патч меняет пару байт в константе, отвечающей за хранение пути в реестре к автозапуску - и откатив реестр и не полечив патченный файл мы убъем систему)
4. Есть множество альтернативных путей запуска, помимо реестра (патч системных файлов, подмена системных и файлов изветного ПО, заражение файлов и драйверов по принципу инфектора, размещение своих EXE в папках автозапуска, помещение своих DLL с системными именами в папках популярного ПО типа IE - поиск DLL то идет сначала в папке приложения ..., файлы-компаньоны (типовой пример - сделать папку скрытой, и положить рядом с ней EXE с иконкой как у папки и таким-же именем)
5. Буткиты. Идея буткита - автозапуск на ранеей стадии запуска системы и внедрение чего надо куда надо ...
Ну как, решение по прежнему кажется универсальным ?
-
-
Junior Member
- Вес репутации
- 59
А всё так хорошо начиналось...
-
Postscripter,
antanta невероятно, но факт [не повторять в домашних условиях] - удалил ключ software почти полностью, потыкал, убедился что ничего не работает жмякнул rezet. После перезагрузки появился как миленький, без всякого восстановления... Неужели это действует только с virtualbox?
Во-первых, ключ может не сразу сбрасываться на диск (может и вообще не записываться в файл куста). Все зависит от того, как он был создан. Во-вторых, описанное чудесное исцеление просто не может (по крайней мере в моем понимании) иметь отношение к механизму восстановления, который был упомянут (последняя удачная...).
-