Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
iMax Download Manager 12.12.09 17:40 Число просмотров: 6965
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 12.12.09 17:48 Количество правок: 1
|
Думаю многие уже столкнулись с подобным трояном. Подключив винт к другой системе убрать заразу несложно.
Собственно, вот как ее удалять без подключения винта:
1. Загрузиться с LiveCD (Infr@ BootCD, NervOS или Windows PE).
2. Запустить Regedite-PE (http://regeditpe.sourceforge.net/), указать диск с системой и подгрузить ветки реестра.
3. Запомнить значение AppInit_DLLs в HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Windows\, найти и потереть эту библиотеку на диске, а затем установить пустое значение ключа ""
4. Потереть файл в каталоге system32\sdra64.exe
5. Убрать ссылку на файл в ключе HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
После можно перегружаться в систему и контрольно пройтись антивирусом по диску, возможно будут найдены дубли удаленным библиотек.
А у кого-нить получилось побороть заразу из под зараженной системы? Ведь при запуске системы невозможно запустить ни один бинарник из-за того, что перед запуском подгружается троянская библиотека, которая вызывает запуск банера, а сам запускаемый бинарник выполнить не удается.
Пробовал переименовать explorer, вместо него подсунуть regedit и загрузиться в безопасном режиме. Но не учел, что троян прописывает запрет запуска regedit- возможно поэтому не получилось.
|
- iMax Download Manager - ZaDNiCa 12.12.09 17:40 [6965]
|
|
|
подробно о проекте
Анализ криптографических сетевых...
