Универсальное решение???

Printable View

05.07.2010, 20:19
Postscripter

Универсальное решение???

Почти безотказное решение против почти всех вирусов.

Как только приходит понимание того что на комп проникла какая-то зловредина (будь то появившееся окно с непристойностями во весь экран, или неожиданно возникший автозапуск на флешке), как можно скорее жмём reset (тот что на системнике, а не пуск-перезагрузка), и потом - "загрузка последней удачной конфигурации". Реестр будет восстановлен, вирус больше не запустится и нам останется только вынести труп (удалить само тело).

Есть, конечно, вирусы, уничтожающие даже информацию для восстановления, но таких мало. Поэтому неминуем вин. Непонятно только одно - почему винлоки до сих пор живы? Казалось бы, всё просто...
05.07.2010, 21:07
chap

Извиняюсь,а восстановление системы,должно быть включено?
05.07.2010, 21:15
Postscripter

[QUOTE=chap;665577]Извиняюсь,а восстановление системы,должно быть включено?[/QUOTE]

Это не восстановление системы, а восстановление реестра. Вещи, между собой никак не пересекающиеся. Windows запоминает свои настройки каждый раз, в момент выключения. А в данном случае никакого выключения не будет, моментальный reset. Поэтому останутся настройки с прошлого сеанса... А в прошлом "сеансе" вирусов ещё не было. Вот.
05.07.2010, 21:34
chap

Да,просто и со вкусом.Спасибо за разъяснения.:beer:
05.07.2010, 22:10
PavelA

[QUOTE='Postscripter;665581']Вещи, между собой никак не пересекающиеся. Windows запоминает свои настройки каждый раз, в момент выключения. [/QUOTE]Как насчет программ, которые уже успели запуститься?
05.07.2010, 22:10
ALEX(XX)

А если это файловый вирус? :) Или вирус, который пропатчил или подменил системный драйвер? Ну а пинчеподобные.. :) Пароли ушли и фсьо :)
05.07.2010, 23:31
antanta

[B]Postscripter[/B], к замечаниям Алекса остается добавить, что манипуляции с LastKnownGoodConfiguration затрагивают только настройки, определяемые в ветках ContolSetXXX. А не весь реестр.
Если бы я писал свой зловредный драйвер, я бы прописал его во всех сетах, как обычно и делают вирьмейкеры. Да еще бы добавил где-то его установщик, по ситуации. То есть, Ваш способ стоит помнить, как возможный вариант решения каких-то проблем. Но, универсальным его назвать трудно.
06.07.2010, 00:13
Postscripter

[QUOTE=PavelA;665606]Как насчет программ, которые уже успели запуститься?[/QUOTE]

Вот они-то больше и не запустятся. Неоткуда будет, хотя сам файл останется.

[QUOTE]А если это файловый вирус? [/QUOTE] От одного файла мало толку. Его ещё нужно где-то прописать.

[QUOTE]Или вирус, который пропатчил или подменил системный драйвер?[/QUOTE]
А вот если подменил - тогда, как говорится, gopa.exe ... ...

[B]antanta[/B] невероятно, но факт [не повторять в домашних условиях] - удалил ключ software почти полностью, потыкал, убедился что ничего не работает жмякнул rezet. После перезагрузки появился как миленький, без всякого восстановления... Неужели это действует только с virtualbox?

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Какая-то белая полоска внизу экрана (при запуске) взяла и восстановила всю ветку...
06.07.2010, 00:36
ALEX(XX)

[QUOTE='Postscripter;665657']От одного файла мало толку. Его ещё нужно где-то прописать.[/QUOTE]
Ух ты :)
06.07.2010, 03:59
Postscripter

А что? )))) Ну хотя да, не обязательно... можно значок красивый прицепить и положить на рабочий стол. И автозагрузку не трогать
06.07.2010, 08:47
chap

Судя из дискуссии,лучше бекапа, пока ничего нет?
06.07.2010, 09:11
Зайцев Олег

[QUOTE=Postscripter;665558]Почти безотказное решение против почти всех вирусов.

Как только приходит понимание того что на комп проникла какая-то зловредина (будь то появившееся окно с непристойностями во весь экран, или неожиданно возникший автозапуск на флешке), как можно скорее жмём reset (тот что на системнике, а не пуск-перезагрузка), и потом - "загрузка последней удачной конфигурации". Реестр будет восстановлен, вирус больше не запустится и нам останется только вынести труп (удалить само тело).

Есть, конечно, вирусы, уничтожающие даже информацию для восстановления, но таких мало. Поэтому неминуем вин. Непонятно только одно - почему винлоки до сих пор живы? Казалось бы, всё просто...[/QUOTE]
Вот почему я всегда говорю - чтобы стать вирусологом, нужно сначала поймать и изучить некоторое количество малварей :) (для начала 2-3 тыс поймать и изучить, для понимания картины - тыщ 30-50). Тогда чудо-методики будут казаться не таким чудом и не такими методиками :) ... в данном случае:
1. есть масса зверей, которые визуально не проявляют своего поведения, вообще и никак (особенно в стадии внедрения в систему). Это к слову сказать типовое поведение зловреда, исключения - это блокираторы и тупые флеш-червяки, ракладывающие себя по все доступным дискам по таймеру. Пример - ворующий пароли троян (запустился, данные собрал, кому надо послал, самоуничтожился), другой пример - шпион (в систему внедрился и сидит тихонечко, ждет скажем момента, когда юзер введет номер кредитки в известную зверю формочку и нажмет "отправить"), типовой бот (сидит потихоньку и творит то, что ему прикажут - скрытность для него основное).
2. множество зловредов "многоступенчатые" (т.е. через эксплоит попадает Downloader, он что-то выкачивает, оно что-то тоже выкачивает ... - процесс может идти долго и незаметно). Равно как многие вымогатели не такие дураки, чтобы немедленно вымогать - они внедрятся в систему, и проявятся например после перезагрузки на следующий день
3. есть куча зловредов, которые заражают системные файлы или патчат их (самое смешное с патчем - типовой распространенный патч меняет пару байт в константе, отвечающей за хранение пути в реестре к автозапуску - и откатив реестр и не полечив патченный файл мы убъем систему)
4. Есть множество альтернативных путей запуска, помимо реестра (патч системных файлов, подмена системных и файлов изветного ПО, заражение файлов и драйверов по принципу инфектора, размещение своих EXE в папках автозапуска, помещение своих DLL с системными именами в папках популярного ПО типа IE - поиск DLL то идет сначала в папке приложения ..., файлы-компаньоны (типовой пример - сделать папку скрытой, и положить рядом с ней EXE с иконкой как у папки и таким-же именем)
5. Буткиты. Идея буткита - автозапуск на ранеей стадии запуска системы и внедрение чего надо куда надо ...

Ну как, решение по прежнему кажется универсальным ? :)
06.07.2010, 11:18
rpc

А всё так хорошо начиналось...:)
06.07.2010, 11:43
antanta

[B]Postscripter[/B], [QUOTE]antanta невероятно, но факт [не повторять в домашних условиях] - удалил ключ software почти полностью, потыкал, убедился что ничего не работает жмякнул rezet. После перезагрузки появился как миленький, без всякого восстановления... Неужели это действует только с virtualbox?[/QUOTE]
Во-первых, ключ может не сразу сбрасываться на диск (может и вообще не записываться в файл куста). Все зависит от того, как он был создан. Во-вторых, описанное чудесное исцеление просто не может (по крайней мере в моем понимании) иметь отношение к механизму восстановления, который был упомянут (последняя удачная...).