Policejní vir
Zdravím, kamaráda napadl tzv. policejní vir. Postupovali jsme podle návodu zde: http://pc.poradna.net/q/view/912021-policejni-vir- a-jak-tu-svinu-znicit
Narazili jsme zde : HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Winlogon - smazat položku shell... Žádnou takovou položku tam nemá. Dá se to vyřešit i nějak jinak, než nějakýma záchranýma CD?
Třeba je to jiná varianta a spoušti se jinak.
ty věci všechny využívají nejstarší pud- touhu přežít. takže tam je jejich slabina. potřebují si zajistit spuštění při eventuelním restartu, takže to někde musí napsat systému a tam si na něj políčíš.
dedukce:
tzn. že se tam nějakým účtem dostanete.
pokud se dostanete, tak hodnota HKEY_CURRENT_USER\ je hodnota pro stávajícího, nenapadnutého uživatele. ty se musíš dostat na konfiguraci napadnutého uživatele z nenapadnutého účtu. kapiš to?
current znamená stávající, aktivní. hledáš špatný hrobeček.
takhle ti to půjde líp.
Záchrané CD tak co třeba tohle avg-rescue-cd
Vubec to tam nemusi byt u nekterych variant.
Uz jsem to zazil i jako polozku MSConfig, ktera byla ulozena ve Start menu jako Po spusteni.
jak píše kmochna - větev "HKEY_CURRENT_USER" platí pro konkrétního přihlášeného uživatele, jenže tento výpalný mallware funguje při startu windows, kdy se ještě k výběru uživatele nedostaneš = díváš se úplně blbě.
vzrušující obsah můžeš nalézt třeba v:
položka "shell" normálně obsahuje "explorer.exe"
2, slovy jen dva. takhle už to dál nejde. jinak nám ti naši milovaní magoři opět budou stahovat aplikaci s největším čudlíkem remove it. nedávno dávali film Osvětová přednáška v Suché Vrbici. nechtěl bys jim vysvětlit schéma registry včetně deskriptorů zabezpečení? já jsem v hrozným časovým presu, ale pomohl bych ti.
edit// pár vteřin mého koukání a je to tady: http://pc.poradna.net/q/view/899770-jak-odstranit- virus-o-zablokovani-pocitace-policii?page=r1013776 #r1013776