Создано: 29-09-2011 23:09:13  Метки: grub flash livecd antivir
Здесь кусок конфига grub2 на флэшке, касающейся загрузки лайфсиди с убунтой и с AntiWinLocker
menuentry "Lubuntu my persistent mode" {
   loopback loop /lubuntu.iso
   linux (loop)/casper/vmlinuz boot=casper persistent iso-scan/filename=/lubuntu.iso locale=ru_RU.UTF-8 console-setup/layoutcode=ru noprompt splash --
   initrd (loop)/casper/initrd.gz
}

menuentry "AntiWinLocker" {
   ntldr /bootmgr
}

опции:
loopback loop /lubuntu.iso - монтирует образ в "виртуальный" привод
(loop)/casper/vmlinuz - ядро
boot=casper - режим "живого" диска
persistent - в корне диска расположен файл casper-rw, подготовленный так:
dd if=/dev/zero of=/media/Transcend/casper-rw bs=1M count=256
mkfs.ext3 /media/Transcend/casper-rw

в нем сохраняются измененные файлы во время работы в livecd
iso-scan/filename=/lubuntu.iso - где лежит образ
locale=ru_RU.UTF-8 console-setup/layoutcode=ru - локаль, русский в консоли
ntldr /bootmgr - опция для загрузки AWL, сам образ распаковывается в корень флешки
1707 просмотров 0 комментариев

Создано: 22-07-2011 23:24:20  Метки: windows antivir
При вставке флэшки выводится сообщение "Windows не удается загрузить программу для установки Volume"
Чаще всего такое случается когда вирус пожрал файлы в папке windows\system32
sfc.dll
sfc_os.dll
sfcfiles.dll
1729 просмотров 0 комментариев

Создано: 12-02-2010 15:24:51  Метки: windows antivir

  1. Ищем вредный процесс tasklist /s computer_name. В нашем случае им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с первого раза глаз не цепляется за название).

  2. Убиваем его через taskkill /s computer_name /pid process_id

  3. Запускаем regedit и подключаем сетевой реестр с данного компьютера. Ищем, где напакостил вирус. Оказалось, что он подменил себя в в качестве шелла:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe

  4. Также выяснилось что вирус установил политику «запрет запуска TaskManager», так что его просто так было не убить. Быстрый поиск в гугле (это было быстрее чем применять политику) показал что надо убить ветку:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr (через удалённый реестр, ключ можно найти как HKEY_USERS\SID_текущего пользователя, если залогинен один, то это просто «длинный» SID в отличе от системных коротких)

  5. Перегружаемся, запускаем Cure-It и добиваем останки вируса из временных папок.

1346 просмотров 0 комментариев

Создано: 24-05-2009 09:05:51 изменено: 20-12-2009 12:10:06  Метки: sysadmin windows flash antivir regedit
http://ru.wikipedia.org/wiki/Autorun.inf
Кто, где и когда писал не знаю, но вот:

Отличная идея с программой против вредоносных autorun.inf!
От себя добавлю что не так давно нашел магический ключик реестра, которым сейчас и пользуюсь. Он делает autorun.inf "невидимым" для ОС. При наличии на флешке autorun.inf, двойной клик на флешке в проводнике является аналогом клика правой мышкой и выбора пункта "Открыть", а пункт контекстного меню "Автозапуск" не появляется. Код:

NOAUTRUN.REG

код
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS :DoesNotExist"


Помните что последняя строка в REG-файле должна быть ПУСТОЙ.

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
"NoDriveTypeAutoRun"=dword:000000b1
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b1

Допустимые значения ключа NoDriveTypeAutoRun:
Bit Drive_Type	Meaning
0x01	DRIVE_UNKNOWN	The drive type cannot be determined.
0x02	DRIVE_NO_ROOT_DIR	The root path is invalid. For example, no volume is mounted at the path.
0x04	DRIVE_REMOVABLE	The disk can be removed from the drive (e.g. floppy disk).
0x08	DRIVE_FIXED	The disk cannot be removed from the drive (e.g. HDD).
0x10	DRIVE_REMOTE	The drive is a remote (network) drive.
0x20	DRIVE_CDROM	The drive is a CD-ROM drive.
0x40	DRIVE_RAMDISK	The drive is a RAM disk.
0x80	DRIVE_FUTURE	Future device types.

1733 просмотров 0 комментариев

Создано: 13-04-2009 17:55:36 изменено: 20-12-2009 12:10:32  Метки: antivir windows regedit
Отключение Avnotify (кроме XP Home):
Настройка -> Панель управления -> Администрирование -> Локальная политика безопасности -> Политики ограниченного использования программ -> Дополнительные правила -> Создать правило для пути... -> вписать путь до avnotify.exe, уровень безопасности - не разрешено.
.: Disable the splash screen :.

1. Open regedit and navigate to [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
2. In the right pane double-click avgnt and add /nosplash at the end of the path (ex. /min /nosplash)
1522 просмотров 0 комментариев