sponsors:

Вірус - Відправ СМС. Ручне вбивство.


Windows Xp Professional RU
При завантаженні, ще до появи робочого стола відкривається чарівне віконечко з проханням "заплатітє за использование еротических ресурсов" а ля "трєбуйєцца мзда".
Ясне діло, що антивірус - безсилий, інакше ця стаття не з'явилась би.
Правда файли тіла віруса вже відправлені Comodo та McAfee - так що вирішення проблеми існує.
Полазивши трошки "шляхами віруса" я знайшов його модифікацію, яку DrWeb Online Checker визначив як Trojan.Winlock.591

Trojan.Winlock.591

Щоправда активним був не цей вірус, а його модифікація, на яку сканер не реагував...
Як побороти...

Зараженою виявилась гілка реєстру HKLM\Software
Для її відновлення я скористався старим методом підміни гілки реєстру і підмінив з папки c:\windows\repair гілки system і software(заражені гілки звісно потрібно зарезервувати!!!)

В результаті вдалось завантажити майже чисту систему, якою вона була на етапі інсталяції.

Але, це по суті "крива переінсталяція", а не те, що потрібно отримати.

Для коректного відновлення - потрібно витягти "заражену" гілку software і почистити її.
З резервної копії файлу software потрібно вичистити залишки вірусу.
Для цього на свіжепіднятій системі підключив "криву гілку реєстру" з допомогою команди reg

reg.exe load hive

reg load HKLM\TEST software
В результаті є доступ до файлу реєстра, в якому потрібно відновити параметр
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Який повинен вказувати лише шлях до файлу userinit.exe.
Все інше, що вказує на різноманітні kui341.tmp з папки c:\temp або з папки Recycler - злосно грохаєм.
Після того як вичистили цей параметр і викинули все лишнє з автозавантаження
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows\CurrentVersion\Run
(реально-параноїдально можна стерти там все), повертаємо назад "заражено-відновлений" файл software в папку c:\windows\system32\config поверх того, з допомогою якого вдалось завантажити систему.

Наступний крок - чистка системи від вірусів, які до цього часу вже гарно там осіли(особливо в папці Temp, на яку вказував параметр Userinit з "кривого" реєстру).

PS. Відновлення системи зайняло трошки більше години. Абсолютне збереження всіх параметрів користувачів, за вийнятком віруса...
По підрахункам, в випадку чистої переінсталяції системи прийшлось би затратити десь ~4-6 годин на все.

PPS. З сумом дивлюсь на наступний системний блок... Там щось з "драйверами"... Мабуть...

PPPS. Далі буде!
Бажаю Вам відсутності вірусів.

Trackback URL for this post:

http://itua.name/en/trackback/715
Share this

Comment viewing options

Select your preferred way to display the comments and click "Save settings" to activate your changes.
My3uka's picture

сам раніше підчепив схожу

сам раніше підчепив схожу штукенцію.....прийшлось з лінукса вбивати....

Владислав's picture

руки

руки треба відривати тим, хто створює віруси та іншу нечисть :(

molinski's picture

Колись теж підхопив цей

Колись теж підхопив цей вірус, правда потім виявилося, що він заразив ще й диспетчер. Стандартне "вбивство" не допомогло.

Syndicate content Syndicate content

Propeople Expert

Партнери

Recent comments

експерименти

Rambler's Top100