folta
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:| Как бороться с последними mbr-локерами, которые шифруют или изменяют MBR? |
неполный, но очень действенный.
есть такая программа Malware Defender ,
очень толковая в своем роде, правда только для х86, так вот.
все mbr-loker'ы палятся обращением \device\harddisk0\dr0
то есть собственно на доступ в мбр и загрузочную область. проверял долго и упорно, спалились на этом все все.
шанс обойти MD, прописавшись только после перезагрузки, но таких еще не встречал, хотя в реестр авторана многие себя пишут.
ставите MD, так как она настолько неприхотливая и незаметная, вы даже удивитесь, меньше ест ресурсов чем process explorer. вобщем, не скажу, захотите, сами посмотрите. она есть и портабельная.
далее.
можете просто отключить все правила (часть файловые, реестровые, сетевые), если хотите чистый ловец мбров.
в правиле приложений
- * (то есть для всех)
на вкладке свойства\разрешения - все разрешаете, только выставляете
запись на физический диск - спросить
все. окошко действия (то есть обращение на запись физического диска вне разделов) будет выскакивать очень редко, но метко. если не пользуете такими программами как bootice, то все попавшие в выскочившее окно - нечисть мбрного или загрузочного толка.
либо обучаете программу, включая режим обучения, чтобы она вас не нервировала по каждому запросу файла.
вобщем все нынешние mbr-loker'ы ею ловятся. если у вас есть пробегающий мимо или описанный, как:
Цитата:| При загрузке с лайвсд разделы жесткого диска не видны |
киньте в тему вирусов.
|
