Сколько знакомых от этого пострадало. Не перечесть.
Понятно, детишки балуются, но... меня удивляет, почему антивирусы с этой ерундой борятся только с последствиями. Неужели нельзя понять их принцип и бороться с ним накорню?
Но это лирика. А теперь мои мысли вслух.
Как нехорошие такие программы заражают ваш комп, очень просто
Есть одна веточка, в которой прописано, что и как будет запускаться.
Веточка называется
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Здесь описывается userinit, с которого запускается ваша Винда и explorer.exe, в котором вы и работаете.
90% вредных программ меняют именно эти ветки реестра, чтобы у вас винда вместо любимого виндоуса запустила злостное тельце творения злого Хения-хаккера
Как бороться.
Для начала файлик
C:\WINDOWS\explorer.exe
скопируем и создадим точно такой же с именем
C:\WINDOWS\explorer2.exe
(C:\WINDOWS\explorer.exe должен остаться, иначе будет обидно остаться без проводника)
Теперь C:\WINDOWS\system32\userinit.exe
Также делаем копию сего файла и создаём
C:\WINDOWS\system32\userinit2.exe
Для чего это делается. Мы сделаем нехорошее дельце. Винда будет запускаться не с файлов
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\explorer.exe (Далее файлы "Без2")
А с файлов
C:\WINDOWS\system32\userinit2.exe
C:\WINDOWS\explorer2.exe (Далее файлы "С2")
Для чего енто делается. Некоторые злостные вирусяки не меняют реестр, а просто заменяют вышеуказанные файлы "Без2" своим тельцем. А так как мы будем запускаться теперь с файлов "С2", то нам будет пофиг что там вирусяка делает. Ну почти. Проводник никто не отменял, он запускается из C:\WINDOWS\explorer.exe но это уже потом
Что теперь Теперь заходим в реестр (Regedit) и правим в веточке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Два параметра:
Shell =C:\WINDOWS\explorer2.exe (раньше стояло просто Explorer - прописываем жёсткий путь)
и
Userinit = C:\WINDOWS\system32\userinit2.exe, (Раньше было тоже самое, но без двоечки)
Теперь наша доблестная винда будет запускаться с наших любимых файлов "С2".
Что теперь. А теперь закроем реестр, там теперь (как и вирусяки делать там больше нечего
Нажимаем правой клавишей на
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и выбираем пункт Разрешения.
И для всех пользователей, акромя SYSTEM убераем галочку "Полный доступ"
Теперь даже вы не сможете поменять енту ветку
Выше есть папочка Windows (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows) я бы посоветовал и её закрыть, так как через неё можно автозагружать DLL файлы (Есть там злостный параметр AppInit_DLLs, который должен быть пустым)
Закрыв две обе веточки единственное что останется из дырок - если вирусяка залезет через Автозагрузку (В рееестре папки Run, RunOnce или в папке C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка (ну и пользовательская папка)
Я редко стакими древностями встречался в последнее время. Все норовят через userinit залезть. Антивируса ещё нету, никто их не покарает и т.д.
Теперь если заразится ваш комп что будет? Да ничего страшного, запустится винда культурно, Да, если запустите проводник, появится злосчастное окно - ничего страшного - не запускайте проводни и проверяйте на вирусы комп и/или(хотя не... всё-таки И) замените explorer.exe на вашу копию explorer2.exe безжалостно убив творение злого гения. Тоже самое и с userinit
В итоге, что я хочу от вас услышать:
1) Я не прав? Если где то есть косяк то напишите в отзывах
2) Дополнения, предложения, мои упущения и т.д. Буду очень рад
3) Будет ли это работать на многопользовательских системах, т.е. если на компе два и более пользователя.
Ну и так - свои впечатления.
Сразу замечу - желательно это делать уже на обновлённой до последнего релиза винды
И да, это делалось на ХРюшке, на семёрке и висте фокус надо делать аналогично, но я не проверял как.
И давайте сначала послушаем отзывы, а уж потом проверять на своих компах. На своём компе я ужо сделал - работает, это радует.
Заранее спасибо
PS Да, вирусы, что заражают
C:\WINDOWS\system32\drivers\etc\hosts здесь не рассмотрены, но и его, как я понимаю можно закрыть некими средствами. КАК?
Ср Янв 12, 2011 12:43 pm
