Вещи написаны правильные, но до далеко не все... Например недавно столкнулся, что вместо файла hosts (девственно чистый оставлен), руткитом, шедшим с блокировщиком Винды, прописывались статические маршруты, отправляющие все запросы к антивирусным сайтам на 127.0.0.1 :-)
Посмотреть: route print (как правило — Постоянные маршруты должны отсутствовать)
Хочется добавить — повезло что удалось запустить хоть калькулятор, добротно написанный блокировщик не даст запустить ничего. — вышеописанный случай лечился с ЛайвФлешки...
Причем блокировщик на момент лечения на ВирусТотал не был известен НИ одному антивирусу! — на следующий день только 4-м, через день уже доброму десятку... :-)
Если winlocker позволяет что-то там ещё и запускать, а особливо пользоваться клавой или мышкой, вам крупно повезло, такая байда лечится на раз. А вот когда ты можешь воспользоваться ни клавой ни мышкой — вот это уже повеселее..
... или на взломанный и зараженный сайт. (Например, 16-18 февраля этого года был заражен сайт svyaznoy.ru — описано на хабре, и я сам видел предупреждения Google Chrome, там были заражены оба хостинга и по нескольку сайтов на каждом. В выходные все вычистили.
мне кажется, что человек, который в состоянии проделать с компьютером все вышеприведенные и ниже перечисленные манипуляции, просто не может подхватить такую дрянь )))
Спасибо за информацию, особенно про калькулятор, как то не додумался через него в реестр попадать)) Но сам поборол такую беду через загрузку с командной строкой.
Комментарии
Посмотреть: route print (как правило — Постоянные маршруты должны отсутствовать)
Лечится: очистка таблиц маршрутов: route –f или трется содержимое ветки реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes — там строковые параметры, которые нужно удалять.
Причем блокировщик на момент лечения на ВирусТотал не был известен НИ одному антивирусу! — на следующий день только 4-м, через день уже доброму десятку... :-)
но если уже словили — то звонок другу-программисту никто не отменял.