?

Log in

No account? Create an account
tech

На заметку. Вирусы, WinPE

Где-то в июне я словил вирус. Я уже не помню, когда я последний раз так попадал, и оказался к этому совсем не готов. Обидно что я сразу же понял что это вирус и прямо почувствовал как он пробежался по моей системе.


Раньше в доисторические времена как хорошо было -- забутился с дискетки и весь компутер проверил. Нынче нет такой дискетки, а удаление вируса ручками походит на бой в памяти: ты его киляешь из процессов, а второй процесс его поднимает обратно. Некоторое время назад помогал касперыч запущенный монитором, -- он не ловил троянцев, но зато не давал подняться убитым вирусным процессам. Но сейчас я отказался от каспера в пользу ClamAV, а он пока в режиме монитора быть не умеет, да и сомневаюсь я что это универсальный способ.

В моем случае я нашел антидот против Brontok A, и вообще-то крепко задумался, о жизни с нынешними троянцами.

Кстати попробуйте поискать гуглом что-нибудь вроде antibrontok -- вылезет очень много дорвейчиков, на которых ничего нет по заявленному вопросу.

В общем заменитель загрузочной дискетке есть. Это версия Win изначально предназначенная для производителей железа, для предустановки ПО. Однако ею можно пользоваться как аварийной системой.

Знаменитой сборкой Win PE в виде аварийной системы является Bart's Preinstalled Environment (BartPE)

Для сборки нужен комплект с сайта, дистрибутив Вин XP Pro.
И набор плагинов.

Собственно я брал и ставил только плагин для ClamAV антивируса отсюда: http://oss.netfarm.it/winpe/

Система грузится с CD, делает небольшой виртуальный диск, имеет доступ к жесткому диску, где можно ловить вирусов, умеет читать USB.

Я редактировал registry, как описано в этой статье http://windowsxp.mvps.org/peboot.htm
Однако есть более удобный плагин: http://regeditpe.sourceforge.net/

Это не отменяет конечно прочих мер безопасности вроде проверки файлов, файрволла и браузера отличного от IE
Tags:

Comments

А что, защищенный режим уже не помогает?
неа. вирусные процессы живут и в защищенном.
Прочитал ссылку с описанием. Наверное
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

Позволяем ему запускаться в защищенном, все остальное работать не должно. По идее возможности поставить туда просто Explorer.exe или на худой конец хоть notepad, помогло бы. Если бы не предательское окно с вопросом о внесении информации в реестр :)
Угу. Но по-любому безопасный бут с диска и сканеж антивирусом, спокойнее и надежнее.
Я бы даже сказал универсальнее :)