информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяСтрашный баг в WindowsСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Серьезная уязвимость в Apache Log4j 
 Крупный взлом GoDaddy 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Я не знаю какая именно модификация там, но я делал следующим... 18.12.09 17:54  Число просмотров: 5359
Автор: TRESPASSER[CfK] Статус: Незарегистрированный пользователь
Отредактировано 18.12.09 18:11  Количество правок: 2
<"чистая" ссылка>
> Думаю многие уже столкнулись с подобным трояном. Подключив
> винт к другой системе убрать заразу несложно.
> Собственно, вот как ее удалять без подключения винта:
> 1. Загрузиться с LiveCD (Infr@ BootCD, NervOS или Windows
> PE).
> 2. Запустить Regedite-PE
> (http://regeditpe.sourceforge.net/), указать диск с
> системой и подгрузить ветки реестра.
> 3. Запомнить значение AppInit_DLLs в
> HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Window
> s NT\CurrentVersion\Windows\, найти и потереть эту
> библиотеку на диске, а затем установить пустое значение
> ключа ""
> 4. Потереть файл в каталоге system32\sdra64.exe
> 5. Убрать ссылку на файл в ключе
> HKEY_LOCAL_MACHINE\_REMOTE_SYSTEM\Software\Microsoft\Window
> s NT\CurrentVersion\Winlogon\UserInit
> После можно перегружаться в систему и контрольно пройтись
> антивирусом по диску, возможно будут найдены дубли
> удаленным библиотек.
> А у кого-нить получилось побороть заразу из под зараженной
> системы? Ведь при запуске системы невозможно запустить ни
> один бинарник из-за того, что перед запуском подгружается
> троянская библиотека, которая вызывает запуск банера, а сам
> запускаемый бинарник выполнить не удается.
> Пробовал переименовать explorer, вместо него подсунуть
> regedit и загрузиться в безопасном режиме. Но не учел, что
> троян прописывает запрет запуска regedit- возможно поэтому
> не получилось.

Я не знаю какая именно модификация там (у знакомых, и не одних уже такое пофиксил, баннер не на весь экран в моем случае), я делал следующим образом. (точнее отправил подруге файлы и она в тел.режиме сделала все что я ей сказал.)
Копируем на винт pskill + pslist предварительно добавив пару символов чтобы имя не оригинальное было.
Грузимся в безопасный режим с поддержкой командной строки.
pslist - смотрим пид/имя
pskill -t pid/ProcessName
Вуаля.
Малвара писалась в качестве параметра в
RegKey:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Value:
C:\WINDOWS\system32\userinit.exe.
где.имя тела.

Тело как обычно в темпе было.

Превентивные меры... не сидеть под админкой *<|=^p
PS -совсем забыл- если нету под рукой пслиста и пскилла... тогда tasklist + taskkill, они стандартные.
<sysadmin> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach