Статья на securelist.com: "Вернуть все как было"

Борьба с вредоносными программами осложнена не только тем, что их необходимо обнаружить, но и тем, что после обнаружения необходимо провести корректное лечение найденного вредоносного кода и его модулей. Детектируемые объекты совершенно не желают быть обнаруженными и уничтоженными, поэтому они активно сопротивляются лечению.

Мешать антивирусному продукту можно различными способами. Можно использовать руткит-технологии для предотвращения обнаружения и удаления, а можно следить за своими компонентами и, в случае удаления, восстанавливать их. Рассмотрим те, которые восстанавливают компоненты в случае их лечения антивирусным продуктом.

Некоторые из способов, которые используются в современных вредоносных программах под Windows:

* нотификации (информационные сообщения ОС) на изменение ключей реестра или значений реестра и восстановление их в случае лечения антивирусом;
* следящий поток в цикле проверяющий ключи реестра, значения реестра или файлы;
* второстепенный процесс, поток или внедренный код, следящий за основным процессом или потоком и перезапускающий его в случае уничтожения антивирусом;


Далее: [URL="http://www.securelist.com/ru/weblog/35129/Vernut_vse_kak_bylo"]securelist.com[/URL]

Ну...вот это уже заезжанный вопрос: что проще, "лечить" систему или сделать переустановку с форматированием.

Никогда не знаешь точно, какие изменения внес вирус в систему - это раз. Во-вторых процесс лечения порой требует времени (отправка на анализ и т.д.), которое может превышать в разы время на переустановку. В-третьих очень часто после лечения система может "не подняться" сама и ей придется помогать. А если нет диска с Виндой?

Не даром на саппорте МС пишут, о том, что полную уверенность в удалении вируса дает только переустановка с форматированием. А приведенная статья и из этого правила делает исключение.

Вобщем проблема-дилемма такая...

Дано - ПК с пиратской виндой. Денег на покупку лицензии именно в данный момент нет - бюджетная организация. Переустановка пиратки невозможна по ряду причин. Остаётся одно - лечить до потери пульса.

[B]anton_dr[/B], ну почему же? Можно предотвращать заражение с помощью тщательных настроек сети и рабочих станций + административными мерами.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Если круг работ на рабочей станции ограничен - можно запретить запуск всего, кроме конкретных программ + юзера урезать в правах.
Это достаточно эффективно. И повысит производительность труда ;)

[QUOTE=Cloud;419809]Ну...вот это уже заезжанный вопрос: что проще, "лечить" систему или сделать переустановку с форматированием.

Никогда не знаешь точно, какие изменения внес вирус в систему - это раз. Во-вторых процесс лечения порой требует времени (отправка на анализ и т.д.), которое может превышать в разы время на переустановку. В-третьих очень часто после лечения система может "не подняться" сама и ей придется помогать. А если нет диска с Виндой?

Не даром на саппорте МС пишут, о том, что полную уверенность в удалении вируса дает только переустановка с форматированием. А приведенная статья и из этого правила делает исключение.

Вобщем проблема-дилемма такая...[/QUOTE]
А можно и не лечить, при наличии хорошей программе резервного копирования, просто сделать резервное восстановление из бекапа. 15 минут работы и минимум затраченных усилий:) И никаких проблем-дилем :)
Очень многие про это забывают или просто отмахиваются, пытаясь экономить 400-500 рублей, а потом "кусают локти" из за потерянной информации, которая стоит в разы больше.
По моему само название "Вернуть все как было" больше подходит к бекапу, надо только добавить "за 15 минут" :)