Есть у меня такой блокер http://www.virustotal.com/file-scan/report.html?id=8419342d67f97ee01fd6e62672a964d138383c64789430ab644412ecfd15a55d-1306160886
Прямо в [B]автоматическом режиме[/B] создал правило в HIPS(посмотрел лог SysInspector куда прописывается, ещё он в папку C:\ProgramData копирует себя - можно и для неё наверно наделать правил :) )
[QUOTE]Лог HIPS:
23.05.2011 23:36:26 C:\Users\vitalik\Desktop\xxx_video.exe set value HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit blocked правио
23.05.2011 23:36:26 C:\Users\vitalik\Desktop\xxx_video.exe set value HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell blocked правио[/QUOTE]
Перезагрузка и реестр чист:
[URL=http://www.imageup.ru/img175/230544664464.png.html][IMG]http://www.imageup.ru/img175/230544664464.png[/IMG][/URL]
Так или иначе в интер-активном, без правила, блокировщик прописался в реестр, правда после перезагрузки интер-активный режим у меня ещё и в автоматический сам переключался.
Ещё ща испытаю это правило, когда установленно [B]спросить[/B]! Я ещё и англиский не понимаю, пока действую интуитивно. А так мне нужен хороший перевод и подробная инструкция с примерами.
[B]А ещё когда я создавал правило для HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon без ключей Userinit/Shell
блокировщик прописывался в реестр!!!
В интерактивном режиме я алертов HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\ с продолжением Shell или Userinit не видел, так что я думаю вот тут и ОШИБКА, и если в моё правило установить спросить меня, блокировщик в реестр не пропишется!!![/B] :)
Изменено: EVE N - 24.05.2011 00:45:29