[Sun-rise]

Да, хочу добавить, создание просто ограниченной учетки не помогает- вирус спокойно записывается в автозапуск!
И нужно также ограничивать доступ к реестру.

Все-таки склоняюсь к блокировке изменений веток автозапуска в реестре у админской учетки.

[morozoff]

Цитата Sun-rise:

Да, хочу добавить, создание просто ограниченной учетки не помогает- вирус спокойно записывается в автозапуск! »

Просто не дайте вирусу запуститься.
Создайте ограниченную учётную запись для работы в интернете и примените к ней Политику ограниченного использования программ. После этого в этой учётной записи вирус не сможет запуститься и прописать себя в Автозагрузку.
И вообще советую вам прочитать Как защитить компьютер от вирусов.

[Sun-rise]

Цитата morozoff:

примените к ней Политику ограниченного использования программ. »

если винда XP Home edition или Win7 Basic, то в ней нет элементов управления безопасностью... (Или я ошибаюсь?)

Цитата morozoff:

И вообще советую вам прочитать Как защитить компьютер от вирусов. »

Эти правила, в общем, мне знакомы.

Использование защиты рассматриваю для установки на компьютеры моих клиентов, чтобы избежать повторного заражения.

И если от остальных вирусов платный и как следует обновляющийся антивирус неплохо справляется, то с Winlock все очень плохо.

Ловят и с NOD32 и с Касперским и с AVAST.... и т.п.

Обучение правилам пользования в сети обычным юзерам не помогают... Все равно где-нибудь да подхватят этот самый winlock.

Поэтому нужна универсальная защита.

[morozoff]

Цитата Sun-rise:

если винда XP Home edition или Win7 Basic, то в ней нет элементов управления безопасностью... (Или я ошибаюсь?) »

Да, вы правы:

Цитата:

Windows 7 (Home Premium, Home Basic и Starter) не имеют встроенного редактора групповой политики.

Цитата:

В Windows XP Home Edition не входит редактор групповых политик (gpedit.msc).

[WindowsNT]

Редактирование разрешений на указанные ключи реестра мерой безопасности не являются.

Действительно, антивирусные программы не могут защитить компьютеры от вирусов, это факт.
Действительно, конкретно против WinLock-а ответом является только Application Whitelisting (например, Software Restriction Policies или AppLocker).
Также, не забывайте о резервном копировании, в том числе Shadow Copies. Данные могут пострадать не только от WinLock-а!

Использовать Home Edition считаю невозможным вообще никак, никогда и нигде именно из-за отсутствия политик безопасности в них. Выбрасывайте эту систему в мусорник, с ней защититься невозможно как класс.

[morozoff]

Цитата WindowsNT:

Использовать Home Edition считаю невозможным вообще никак, никогда и нигде именно из-за отсутствия политик безопасности в них. Выбрасывайте эту систему в мусорник, с ней защититься невозможно как класс. »

Ну, на счёт выбрасывать вы погорячились. Можно ведь воспользоваться Программой обновления Windows Anytime Upgrade. Её ведь никто не отменял

[Диман_Д]

Подхватил новую версию винлока. Он не модифицирует системный реестр - создает новый реестр!
Загрузился со второй партиции, начал сканить зараженный диск С.
Др.Веб вылетел с ошибкой сканирования. Ладно, щас подчищу в реестре. Загружаю кусты с зараженой машины - f:\WINDOWS\system32\config\software. Все пути правильные. На всякий случай ставлю в Shell = Тотал коммандер.
Перезагружаюсь... Опять винлок, тоталом и не пахло...
Копал , копал... - накопал. В папке User лежит *.ехе файл - винлок (Trojan.Winlock.6578) и здесь же реестр. Загрузив куст реестра уже отсюда f:\Documents and Settings\User\NTUSER.DAT вижу загружаемый в Шелл винлок.



Вопрос - как вернуть использование старого (основного) реестра ?

[yurfed]

Sun-rise, есть небольшая утилитка WinPatrol, отслеживает все изменения реестра, да и много что ещё. Добавить отслеживаемые ключи реестра можно только в зарегистрированной версии.

[WindowsNT]

По-прежнему считаю необходимым отметить, указанная программа мерой предотвращения заражения НЕ является. Она лишь констатирует уже произошедшую компрометацию.
Тем временем, игнорируя SRP, пользователи продолжают жрать кактус.