информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Spanning Tree Protocol: недокументированное применениеГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
 С наступающим 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
iMax Download Manager 12.12.09 17:40  Число просмотров: 6635
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 12.12.09 17:48  Количество правок: 1
<"чистая" ссылка>
Думаю многие уже столкнулись с подобным трояном. Подключив винт к другой системе убрать заразу несложно.
Собственно, вот как ее удалять без подключения винта:
1. Загрузиться с LiveCD (Infr@ BootCD, NervOS или Windows PE).
2. Запустить Regedite-PE (http://regeditpe.sourceforge.net/), указать диск с системой и подгрузить ветки реестра.
3. Запомнить значение AppInit_DLLs в HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Windows\, найти и потереть эту библиотеку на диске, а затем установить пустое значение ключа ""
4. Потереть файл в каталоге system32\sdra64.exe
5. Убрать ссылку на файл в ключе HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
После можно перегружаться в систему и контрольно пройтись антивирусом по диску, возможно будут найдены дубли удаленным библиотек.
А у кого-нить получилось побороть заразу из под зараженной системы? Ведь при запуске системы невозможно запустить ни один бинарник из-за того, что перед запуском подгружается троянская библиотека, которая вызывает запуск банера, а сам запускаемый бинарник выполнить не удается.
Пробовал переименовать explorer, вместо него подсунуть regedit и загрузиться в безопасном режиме. Но не учел, что троян прописывает запрет запуска regedit- возможно поэтому не получилось.
<sysadmin> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach