Сразу, что не получилось:
- Запустить от имени встроенного администратора;
- От имени системы. Не понял, что написано тут: ссылка
- Отредактировать свойства ярлычка из-под LiveCD Ubuntu.
Материалы:
http://virusinfo.info/showthread.php?s=0
http://www.osp.ru/pcworld/2006/03/318152/
http://www.winblog.ru/2007/02/27/2702070
http://www.windowsfaq.ru/content/categor
Получилось:
Сначала попробовал в ограниченной учетке отредактировать Свойства ярлычка (командной строки - cmd.exe). Путь: C:\Documents and Settings\ник_ограниченной_учетки\Главное меню\Программы\Стандартные. В поле "Объект" стер и вставил:
runas.exe /user:НИК "%SystemRoot%\system32\cmd.exe /k"
(НИК - ник пользователя с административными правами).
Получилось, ввел пароль администратора и командная строка запустилась от имени администратора.
Потом попробовал добавить клавишу быстрого пуска - в поле "Быстрый вызов", в свойствах ярлычка, написал H, получилось: Ctrl+Alt+H. Попробовал нажать сочетание клавиш - опять ввод пароля и запуск командной строки с правами пользователя-администратора. Ога!
Попробовал создать новый ярлык (правой мышкой на Рабочем столе (или в какой папке) - Создать - Ярлык). В поле "Укажите размещение объекта" вставил этот же ключ (runas.exe /user:НИК "%SystemRoot%\system32\cmd.exe /k") и запустил. Получилось. Потом можно и добавить букву для запуска сочетанием клавиш.
Дальше запустил Ubuntu как LiveCD и попробовал - ноль. Ни-и-ичего не понятно. Потом запустил RusLive_RAM - тут все повеселей.
Сначала попробовал отредактировать свойства ярлычка для командной строки (лежит в папке: C:\Documents and Settings\ник_ограниченной_учетки\Главное меню\Программы\Стандартные). Относительные (runas.exe) пути не принялись, добавил абсолютные:
C:\WINDOWS\system32\runas.exe /user:НИК "%SystemRoot%\system32\cmd.exe /k"
или
C:\WINDOWS\system32\runas.exe /user:НИК "C:\WINDOWS\system32\cmd.exe /k"
(чтобы вернуть, как было, в Windows XP, в поле "Объект": %SystemRoot%\system32\cmd.exe)
Заработало. С LiveCD можно добавить и букву для запуска сочетанием клавиш. Совсем хорошо.
Попробовал создавать новые ярлыки - ничего не получилось. Но выход есть - отредактировать уже существующие. Например Блокнота (находится в той же папке, что и ярлык для cmd.exe. Изначальная запись в поле "Объект": %SystemRoot%\system32\notepad.exe). Получилось. Еще некоторые команды для вставки в поле "Объект" Блокнота (не забудьте потом вернуть на изначальную):
- для командной строки:
C:\WINDOWS\system32\runas.exe /user:НИК "C:\WINDOWS\system32\cmd.exe /k"
- для редактора реестра:
C:\WINDOWS\system32\runas.exe /user:НИК "C:\WINDOWS\regedit.exe"
- для программы настройки системы:
C:\WINDOWS\system32\runas.exe /user:НИК "C:\WINDOWS\ServicePackFiles\i386\msconf
В принципе, таким макаром, можно попробовать запускать не только системные утилиты, но и программы.
Кроме возвращения изначальной команды запуска Блокнота после лечения удалите все созданные ярлыки и отредактируйте измененные ярлыки назад. Программа runas.exe весьма опасна!
UPD: - Документация AVZ
- Утилиты ЛК
UPD 2: Идея автоматизации мне очень понравилась. Понашлепал ярлычков с клавишами запуска и положил в папку "112" в C:\Documents and Settings\All Users\Документы:
1. Как видно из постов в разделе "Помогите" ВирусИнфо, некоторые вирусы оставляют возможность запустить программу лечения/исправления. Т.е. блокируют не все. Можно, например, нажать сочетание клавиш Win+U (это запустит "Дополнительные возможности", приоритет у нее большой. Если не видно окна сразу, то, возможно, оно появится при выключении/перезагрузке. А уж через него, можно добраться до запуска программы (через справку - браузер - проводник). Или еще вариант - некоторые вымогатели позволяют запускать программы (в безопасном режиме, предположим) и тут же завершают работу системы. Это тоже можно остановить. Так, чисто теоретически - нажать Win+U, потом попробовать нажать сочетание клавиш для ярлыка остановки перезагрузки системы. Или из трюка с Win+U, описанном О.Зайцевым, попытаться запустить этот ярлык. Поэтому первый:
(клавиши добавляются в поле "Быстрый вызов" свойств ярлыка.)
Z (т.е. Ctrl+Alt+Z) - остановка завершения работы системы:
"C:\WINDOWS\system32\shutdown.exe" -a
2. С - запуск командной строки от имени пользователя с административными правами:
C:\WINDOWS\system32\runas.exe /user:НИК "C:\WINDOWS\system32\cmd.exe /k"
3.R - запуск редактора реестра от имени пользователя с административными правами:
C:\WINDOWS\system32\runas.exe /user:НИК "C:\WINDOWS\regedit.exe"
4. 3 - запуск 3-го стандартного скрипта AVZ (Файл - Стандартные скрипты) из командной строки:
"C:\WINDOWS\system32\cmd.exe" /c "C:\Program Files\avz4\avz.exe" Script=ExecuteStdScr(3) Run=Y
Этот ярлык, вернее исполнение команд в AVZ требует уточнения. Авира его напрочь блокирует даже с отключенным Guard_ом. Проверил со 2-ым стандартным - фунциклирует:)
UPD 3: Сочетания клавиш совсем не работают, но можно, с помощью LiveCD перенести нужный ярлык в папку C:\Documents and Settings\Ник\Главное меню\Программы\Автозагрузка - при старте системы срабатывает. Или использовать в качестве шаблона для редактирования работающих от сочетания клавиш ярлыков, Блокнота, например.
Еще наделал ярлыков и разложил их в папки с короткими названиями, чтоб не путаться. Т.е. буква - это название папки в папке "112". Убрал все сочетания клавиш и перенес всю папку "112" из All Users в НИК_администратора:
5. Р - запуск AVZ в скрытом режиме (HiddenMode=3) с командной строки:
C:\WINDOWS\system32\cmd.exe /c "C:\Program Files\avz4\avz.exe" ScanDrive=HDD DelVir=Y HiddenMode=3 Run=Y
6. А - запуск AVZ в скрытом режиме от имени пользователя с административными правами:
C:\WINDOWS\system32\runas.exe /user:НИК "C:\Program Files\avz4\avz.exe" ScanDrive=HDD DelVir=Y HiddenMode=3 Run=Y
UPD 4: Еще почитал документацию по AVZ. Нашел способы запуска с защитой: http://z-oleg.com/secur/avz_doc/ в "Параметрах командгой строки" - "Специализированные ключи":
"AG=[Y|N] - включение AVZGuard в момент запуска AVZ. Этот ключ допустим только во командной строке, в скриптах он не поддерживается. Обработка ключа AG производится в момент запуска AVZ, до его инициализации и создания рабочих окон.
AM=[Y|N] - включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками. Задание AM=Y приводит к удалению текста из заголовка главного окна AVZ, удаляет смысловое имя приложения. В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню "Файл\Выход" или по команде скрипта. Поддерживается в AVZ начиная с версии 4.32"
Попробовал создать ярлыки и запустить под ограниченным пользователем:
C:\WINDOWS\system32\cmd.exe /c "C:\Program Files\avz4\avz.exe" am=y - сработало, выйти из AVZ можно только через меню "Файл\Выход" или по команде скрипта
C:\WINDOWS\system32\cmd.exe /c "C:\Program Files\avz4\avz.exe" ag=y - Ошибка AVZ Guard: C0000061
"C:\Program Files\avz4\avz.exe" am=y
"C:\Program Files\avz4\avz.exe" ag=y - Ошибка AVZ Guard: C0000061
Ошибка AVZ Guard: C0000061 - прочитал, возникает из-за того, что AVZ Guard работает только в х32 и под администратором.
Т.е. смысл запуска понятем, можно пробовать: из-под виндоподобных LiveCD (если из-под линуксов, то надо готовится заранее) скачать AVZ, архив с сайта или полиморфный, распаковать в папку, например в C:\Documents and Settings\All Users\Документы (если полиморфный, то создать папку), переименовать ее в Internet Explorer, переименовать avz.exe в iexplore.exe (при слете языка: "Профиль локализации - это INI файл, лежащий в папке на одном уровне с avz.exe с расширением loc. По умолчанию это avz.loc, но если avz.exe переименовывается скажем в gluck.exe, то профиль локализации должен симметрично переименоваться в gluck.loc." Или:
"Скажите пожалуйста,почему при запуске AVZ у меня вместо текста цифры?
Проблема с кодировкой в виндоус, решить можно использовав английский интерфейс- будут английские буковки вместо цифр.
Что нужно:
- создать ярлык к исполняемому файлу avz
- нажать правой кнопкой по созданному ярлыку, выбрать вторую ячейку(ярлык) в верхнем окошке( цель=target)заполнить Путь к папке с avz и добавить /avz.exe lang=en
-запускать avz, нажимая на данный ярлык").
Далее: скопировать ярлык Блокнота, предположим, из папки: C:\Documents and Settings\Имя_пострадавшего\Главное меню\Программы\Стандартные и вставить в папку C:\Documents and Settings\Имя_пострадавшего\Главное меню\Программы\Автозагрузка - при старте системы AVZ запуститься в защищенном режиме. Отредактировать скопированный ярлык. Какой из методов защиты сработает - надо пробовать. Стартовать с жесткого диска. Не получится - менять ключи старта в ярлыке.
Примеры:
- AM=[Y|N] - включает базовую защиту от троянских программ:
Через командную строку: C:\WINDOWS\system32\cmd.exe /c "Путь\avz.exe" ag=y
Просто: "Путь\avz.exe" ag=y
- AG=[Y|N] - включение AVZGuard в момент запуска AVZ:
Через командную строку: C:\WINDOWS\system32\cmd.exe /c "Путь\avz.exe" ag=y
Просто: "Путь\avz.exe" ag=y
При переименовании avz.exe надо писать придуманное имя. Если в меню будут цифры или кракозябры, то можно попробовать так:
"Путь\avz.exe" lang=en am=y
После лечения следует убрать ярлык запуска AVZ из папки Автозагрузка. А то так и будет стартовать - антивирус может обидиться.
Очень красивое решение:) Так можно запускать и другие программы.
Комментариев нет:
Отправить комментарий