информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Сетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ростелеком заподозрили в попытке... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
iMax Download Manager 12.12.09 17:40  Число просмотров: 5690
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 12.12.09 17:48  Количество правок: 1
<"чистая" ссылка>
Думаю многие уже столкнулись с подобным трояном. Подключив винт к другой системе убрать заразу несложно.
Собственно, вот как ее удалять без подключения винта:
1. Загрузиться с LiveCD (Infr@ BootCD, NervOS или Windows PE).
2. Запустить Regedite-PE (http://regeditpe.sourceforge.net/), указать диск с системой и подгрузить ветки реестра.
3. Запомнить значение AppInit_DLLs в HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Windows\, найти и потереть эту библиотеку на диске, а затем установить пустое значение ключа ""
4. Потереть файл в каталоге system32\sdra64.exe
5. Убрать ссылку на файл в ключе HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
После можно перегружаться в систему и контрольно пройтись антивирусом по диску, возможно будут найдены дубли удаленным библиотек.
А у кого-нить получилось побороть заразу из под зараженной системы? Ведь при запуске системы невозможно запустить ни один бинарник из-за того, что перед запуском подгружается троянская библиотека, которая вызывает запуск банера, а сам запускаемый бинарник выполнить не удается.
Пробовал переименовать explorer, вместо него подсунуть regedit и загрузиться в безопасном режиме. Но не учел, что троян прописывает запрет запуска regedit- возможно поэтому не получилось.
<sysadmin> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach