Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Я не знаю какая именно модификация там, но я делал следующим... 18.12.09 17:54 Число просмотров: 6657
Автор: TRESPASSER[CfK] Статус: Незарегистрированный пользователь Отредактировано 18.12.09 18:11 Количество правок: 2
|
> Думаю многие уже столкнулись с подобным трояном. Подключив > винт к другой системе убрать заразу несложно. > Собственно, вот как ее удалять без подключения винта: > 1. Загрузиться с LiveCD (Infr@ BootCD, NervOS или Windows > PE). > 2. Запустить Regedite-PE > (http://regeditpe.sourceforge.net/), указать диск с > системой и подгрузить ветки реестра. > 3. Запомнить значение AppInit_DLLs в > HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Window > s NT\CurrentVersion\Windows\, найти и потереть эту > библиотеку на диске, а затем установить пустое значение > ключа "" > 4. Потереть файл в каталоге system32\sdra64.exe > 5. Убрать ссылку на файл в ключе > HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Window > s NT\CurrentVersion\Winlogon\UserInit > После можно перегружаться в систему и контрольно пройтись > антивирусом по диску, возможно будут найдены дубли > удаленным библиотек. > А у кого-нить получилось побороть заразу из под зараженной > системы? Ведь при запуске системы невозможно запустить ни > один бинарник из-за того, что перед запуском подгружается > троянская библиотека, которая вызывает запуск банера, а сам > запускаемый бинарник выполнить не удается. > Пробовал переименовать explorer, вместо него подсунуть > regedit и загрузиться в безопасном режиме. Но не учел, что > троян прописывает запрет запуска regedit- возможно поэтому > не получилось.
Я не знаю какая именно модификация там (у знакомых, и не одних уже такое пофиксил, баннер не на весь экран в моем случае), я делал следующим образом. (точнее отправил подруге файлы и она в тел.режиме сделала все что я ей сказал.)
Копируем на винт pskill + pslist предварительно добавив пару символов чтобы имя не оригинальное было.
Грузимся в безопасный режим с поддержкой командной строки.
pslist - смотрим пид/имя
pskill -t pid/ProcessName
Вуаля.
Малвара писалась в качестве параметра в
RegKey:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Value:
C:\WINDOWS\system32\userinit.exe.
где.имя тела.
Тело как обычно в темпе было.
Превентивные меры... не сидеть под админкой *<|=^p
PS -совсем забыл- если нету под рукой пслиста и пскилла... тогда tasklist + taskkill, они стандартные.
|
|
|