sponsors:

Вірус - Відправ СМС. Ручне вбивство.


Windows Xp Professional RU
При завантаженні, ще до появи робочого стола відкривається чарівне віконечко з проханням "заплатітє за использование еротических ресурсов" а ля "трєбуйєцца мзда".
Ясне діло, що антивірус - безсилий, інакше ця стаття не з'явилась би.
Правда файли тіла віруса вже відправлені Comodo та McAfee - так що вирішення проблеми існує.
Полазивши трошки "шляхами віруса" я знайшов його модифікацію, яку DrWeb Online Checker визначив як Trojan.Winlock.591

Trojan.Winlock.591

Щоправда активним був не цей вірус, а його модифікація, на яку сканер не реагував...
Як побороти...

Зараженою виявилась гілка реєстру HKLM\Software
Для її відновлення я скористався старим методом підміни гілки реєстру і підмінив з папки c:\windows\repair гілки system і software(заражені гілки звісно потрібно зарезервувати!!!)

В результаті вдалось завантажити майже чисту систему, якою вона була на етапі інсталяції.

Але, це по суті "крива переінсталяція", а не те, що потрібно отримати.

Для коректного відновлення - потрібно витягти "заражену" гілку software і почистити її.
З резервної копії файлу software потрібно вичистити залишки вірусу.
Для цього на свіжепіднятій системі підключив "криву гілку реєстру" з допомогою команди reg

reg.exe load hive

reg load HKLM\TEST software
В результаті є доступ до файлу реєстра, в якому потрібно відновити параметр
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Який повинен вказувати лише шлях до файлу userinit.exe.
Все інше, що вказує на різноманітні kui341.tmp з папки c:\temp або з папки Recycler - злосно грохаєм.
Після того як вичистили цей параметр і викинули все лишнє з автозавантаження
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows\CurrentVersion\Run
(реально-параноїдально можна стерти там все), повертаємо назад "заражено-відновлений" файл software в папку c:\windows\system32\config поверх того, з допомогою якого вдалось завантажити систему.

Наступний крок - чистка системи від вірусів, які до цього часу вже гарно там осіли(особливо в папці Temp, на яку вказував параметр Userinit з "кривого" реєстру).

PS. Відновлення системи зайняло трошки більше години. Абсолютне збереження всіх параметрів користувачів, за вийнятком віруса...
По підрахункам, в випадку чистої переінсталяції системи прийшлось би затратити десь ~4-6 годин на все.

PPS. З сумом дивлюсь на наступний системний блок... Там щось з "драйверами"... Мабуть...

PPPS. Далі буде!
Бажаю Вам відсутності вірусів.

Trackback URL for this post:

http://itua.name/en/trackback/715
Share this

Syndicate content Syndicate content

Propeople Expert

Партнери

експерименти

Rambler's Top100