Windows заблокирован! - [124] :: Microsoft Windows :: Компьютерный форум Ru.Board

Есть замечательная тулза Robocopy от Microsoft, прямо маленький, "нерезидентный антивирус" какой-то против локеров, думаю, и не только. Возможно не всем подойдет данное решение, в частности, кто для бекапа системы юзает образы или часто устанавливает стороннее ПО в систему.
Имеем:
Настроенная система WindowsXPSP3+ со всеми обновами без стороннего софта (.NET и компания тоже отсутствуют) дабы уменьшить системный раздел. Занимаемый объем, включая структуру файловой системы, не более 1Гб. Сторонний софт только портабельный и находится на другом винте.
Задача:
Работать под админом, без антивирусника... все равно новых локеров они не видят.
Решение:
1. Тупо копируем настроенную систему на другой винт\раздел.
2. Создаем два сценария (батника) групповой политики (автозагрузка\завершение работы, т.е. суем их в Конфигурацию компьютера) в которых и будет работать Robocopy с папкой Documents and Settings. Т.е. создаем задания для Robocopy, в которых при каждой загрузке\перезагрузке выполняется синхронизация нашей копии Documents and Settings с системой. Другими словами, просто из копии все копируем назад в систему и убиваем лишнее чего туда накидало.
3. Теперь относительно

Цитата:

А что делать если ловим винлокер 22CC6C32.exe, который подменяет собой файлы
userinit.exe и taskmgr.exe

Создаем 3 задание для Robocopy, в котором будут синхронизироваться папки Windows (по времени даже не заметно, Robocopy очень шустрая) и суем эту задачу в планировщик заданий для выполнения пpи зaгpузкe кoмпьютepa.
4. Подводные камни при создании заданий Robocopy:
В 1 и 2 задании я исключил из синхронизации папки (параметр /XD):
LocalService
Network
NetworkService
В 3 задании:
config
Prefetch
CatRoot2
Repository
SoftwareDistribution

и файлы (параметр /XF):
SchedLgU.Txt
mfc100rus.dll
mfc100u.dll
msvcp100.dll
msvcr100.dll
так как система их юзает и происходит долгий затык при синхронизации. Возможно, у вас добавятся свои папки\файлы.
В групповой политике укажите Выполнение сценариев загрузки и завершения с отображением команд.
В конце каждого батника поставьте команду PAUSE, чтобы просматривать чего там происходит.
5. Так как реестр я менял только пользовательский, а машинный не менялся (папка config в исключениях) добавляем в наши сценарии еще и импорт REG-файла, в котором на всякий случай восстановим известные разделы и параметры, откуда грузятся локеры (кто какие пути еще знает, добавляйте). Файл Restore.zip выкладываю, но предупреждаю еще раз: у мя система без стороннего ПО, поэтому изучите REG-файл перед использованием и сравните со своими параметрами\разделами, а то мало ли, чего у вас там стоит в системе.
6. Результат и некоторые подробности смотрите в фильме Robocopy, там же, в окнах ком. строки, можно подглядеть и параметры заданий Robocopy.
Предложения, улучшения и новых локеров приму с благодарностью.

Модерирует : KLASS, IFkO
KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172