среда, 17 июня 2009 г.

Вас притесняют вирусы?

Какие у вас права в системе? Администратора? А вы можете запустить диспетчер задач или редактор реестра? Если система говорит вам что администратор отключил/запретил то или иное действие, а администратор это вы . . . Тогда вас поимел вирус. Этот пост для вас.

1. Диспетчер задач и редактор реестра

Перечислю наиболее простые способы возвращения себе прав запуска диспетчера задач и редактора реестра. Все способы требуют наличия прав редактирования реестра.


Способ 1 ( Требует наличия "c:\windows\regedit.exe" )

Скопируйте текст ниже в текстовый файл и переименуйте его в *.REG, после чего кликните по нему 2 раза для добавления информации в реестр.


Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
"DisableRegistryTools"=dword:00000000


Способ 2 ( Требует наличия "c:\windows\system32\reg.exe" )

Запустите командную строку: Пуск -> Выполнить... -> cmd
Выполните 2 команды:
1) reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d 0 /f2) reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 0 /f

Способ 3 ( Требует наличия "c:\windows\system32\wscript.exe" )

Скопируйте текст ниже в текстовый файл и переименуйте его в *.JS, после чего кликните по нему 2 раза для запуска скрипта добавляющего информацию в реестр.


reg = new ActiveXObject("WScript.Shell");

reg.RegWrite("HKEY_CURRENT_USER\\Software\
\\Microsoft\\Windows\\CurrentVersion\
\\Policies\\System\\DisableTaskMgr",0,"REG_DWORD");

reg.RegWrite("HKEY_CURRENT_USER\\Software\
\\Microsoft\\Windows\\CurrentVersion\
\\Policies\\System\\DisableRegistryTools",0,"REG_DWORD");


2. Отображение скрытых и системных файлов в проводнике

Частенько вирусы не дают возможности просмотреть скрытые и системные файлы в проводнике. При попытке изменения этих атрибутов в свойствах папки - вирус исправляет настройки обратно. Если изменять значения ключей реестра - вирус это тоже исправляет обратно. Есть способ это уладить.


Необходимо задать следующие значения ключам реестра в ветке "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced":
1) Hidden = 1
2) SuperHidden = 1
3) ShowSuperHidden = 2

После установки значений ключей, система вообще не сможет понять что она показывает (рис. 1). Главное, что и скрытые и системные файлы отныне в проводнике показываются. Теперь уж вирус от нас не спрячется. Почему для настройки отображения скрытых и системных файлов в проводнике задействованы 3 ключа реестра? Hidden, SuperHidden, ShowSupeHidden . . . (может кто подскажет в чём прикол?)



Рис. 1. Свойства папки / Вид


Комментариев нет: