proNovell

никак не настрою у себя Windows Update Server и т.п. поэтому дырочки видимо есть у людей Антивирус у всех стоит TrendMicro Office Scan, в нем есть Firewall, но времени настроить на все наши приложения, создать различные политики пока тоже к сожалению не хватает. А многие трояны попадают на комп не файлом. и когда они уже в системе, антивирус их конечно отрубает, но каждое утро это повторяется. например TROJ_AGYSTEO.A - чтобы его удалить надо сделать Disable System Restore - ну это я найду как через реестр сделать, но надо еще ПЕРЕГРУЗИТЬ В SAFE MODE и удалить в системной папке кое что - можно ли создать приложение ZEN чтобы оно ПРЕДУПРЕЖДАЛО, ПЕРЕГУЖАЛО В СЕЙФ МОД И УДАЛЯЛО?

пока обхожусь тем что слежу за логами и посылаю нашим инженерам просьбы с инструкцией как удалить. Но проблема что людей меньше чем работы и не всегда руки доходят. хотелось бы автоматизировать процесс.

Нельзя. Вернее конечно можно прописать в boot.ini загрузку в безопасном режиме, найти место в которое можно запихнуть исполняемый модуль чтобы он отработал и в безопасном а потом вернул все обратно но это только в теории а на практике ничего хорошего из этого не выйдет. Поэтому лучше нормальный антивирус который умеет удалять заблокированные файлы, например касперский. Либо-же отключение вирусов через реестр с последующей перезагрузкой и удалением файлов, или taskkill и последующееудаление файла. Либо же утилиты по удалению заблокированных файлов. Например Unlocker и DELETE DOCTOR.

Андрей Старков писал(а):чтобы его удалить надо сделать Disable System Restore - ну это я найду как через реестр сделать, но надо еще ПЕРЕГРУЗИТЬ В SAFE MODE и удалить в системной папке кое что

А зачем вам там вообще System Restore, на рабочих местах ? Его надо сразу отключать. Файлы в системной папке можно попробовать переименовывать, а не удалять - возможно, получится обойтись и без Safe mode.

Андрей Тр. aka RH писал(а):А зачем вам там вообще System Restore, на рабочих местах ? Его надо сразу отключать. Файлы в системной папке можно попробовать переименовывать, а не удалять - возможно, получится обойтись и без Safe mode.

Отсюда поподробнее, аргументируйте пожалуйста, почему говорите отключать System Restore и если можно документики в инете которые это рекомендуют?

На Каспера лицензии еще покупать, а на TrendMicro общим пакетом есть и продлеваются и не нами, а выше сидящими. А в масштабах сотен и сотен компов и квадратных километров играться с кряками каспера...

Андрей Старков писал(а):Отсюда поподробнее, аргументируйте пожалуйста, почему говорите отключать System Restore и если можно документики в инете которые это рекомендуют?

Ну, если зоопарк как машин, так и софта большой, а обслуживающего персонала немного, плюс ко всему, пользователи могут сами что-то там себе ставить, то в System restore смысл конечно есть. А так... Слетела - из образа восстановили и дело с концом - приложения все сетевые, профиль на сервере роуминговый или обязательный. А вот минусы System restore в том, что дофига файлов системой во время работы занятыми остаются, а особенности OfficeScan'а не позволяют подобные файлы лечить/удалять.

Уже ответил

Timur Kazimirov писал(а):Слетела - из образа восстановили и дело с концом - приложения все сетевые, профиль на сервере роуминговый или обязательный. А вот минусы System restore в том, что дофига файлов системой во время работы занятыми остаются, а особенности OfficeScan'а не позволяют подобные файлы лечить/удалять.

Конечно, это моё личное мнение. Я не вижу большинх плюсов во включенном System Restore на компьютерах в более-менее централизованной сети. В большинстве случаев софт инсталлируется под контролем администраторов, равно как и изменение различных настроек ( типа через Групповые политики и т.п. ). У пользователей, по идее, вообще может не быть прав на такую (само)деятельность. На восстановление данных из restore points необходимы права администратора. Restore points не кумулятивны, т.е. если захочется откатиться на более чем одну, то понадобятся целыми все из цепочки. ИМХО проще залить новый образ.

пользователи к сожалению имеют права админов, так как были уже юзерами, но начались некоторые проблемки, народу мало (АСУшников), своих же толком не успел научить и убедить всем премудростям, уходил в отпуск и включил всем админа права. так было проще. Но выключается обратно одним движением мышки так что приду к этому!
но руки не везде дотянулись, есть РЭСы (район электросетей) которые от меня за 300, 200 км. и там нет асушников. и каналы еще недавно были 33.6к сейчас поболе, дотяну руки - и будет щастье
еще раз спасибки, направление понял!

Кто знает - может, в Вашем случае оно может быть и полезно. Сети бывают разные !

по следующим соображениям. Во первых, тормозит жутко, во вторых эта дрянь грохает всю работу пользователя после контрольной точки, даже не относящуюся к систене и на других дисках. То есть грохает его личные файлы и изменения в них, что нафиг никому не нужно. Нам хватило одного раза, чтобы понять, что этим пользоваться нельзя.