Главная » Вірус - Відправ СМС. Ручне вбивство.
спонсоры:

Ответить на комментарий


Вірус - Відправ СМС. Ручне вбивство.

Windows Xp Professional RU
При завантаженні, ще до появи робочого стола відкривається чарівне віконечко з проханням "заплатітє за использование еротических ресурсов" а ля "трєбуйєцца мзда".
Ясне діло, що антивірус - безсилий, інакше ця стаття не з'явилась би.
Правда файли тіла віруса вже відправлені Comodo та McAfee - так що вирішення проблеми існує.
Полазивши трошки "шляхами віруса" я знайшов його модифікацію, яку DrWeb Online Checker визначив як Trojan.Winlock.591

Trojan.Winlock.591

Щоправда активним був не цей вірус, а його модифікація, на яку сканер не реагував...
Як побороти...

Зараженою виявилась гілка реєстру HKLM\Software
Для її відновлення я скористався старим методом підміни гілки реєстру і підмінив з папки c:\windows\repair гілки system і software(заражені гілки звісно потрібно зарезервувати!!!)

В результаті вдалось завантажити майже чисту систему, якою вона була на етапі інсталяції.

Але, це по суті "крива переінсталяція", а не те, що потрібно отримати.

Для коректного відновлення - потрібно витягти "заражену" гілку software і почистити її.
З резервної копії файлу software потрібно вичистити залишки вірусу.
Для цього на свіжепіднятій системі підключив "криву гілку реєстру" з допомогою команди reg

reg.exe load hive

reg load HKLM\TEST software
В результаті є доступ до файлу реєстра, в якому потрібно відновити параметр
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Який повинен вказувати лише шлях до файлу userinit.exe.
Все інше, що вказує на різноманітні kui341.tmp з папки c:\temp або з папки Recycler - злосно грохаєм.
Після того як вичистили цей параметр і викинули все лишнє з автозавантаження
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows\CurrentVersion\Run
(реально-параноїдально можна стерти там все), повертаємо назад "заражено-відновлений" файл software в папку c:\windows\system32\config поверх того, з допомогою якого вдалось завантажити систему.

Наступний крок - чистка системи від вірусів, які до цього часу вже гарно там осіли(особливо в папці Temp, на яку вказував параметр Userinit з "кривого" реєстру).

PS. Відновлення системи зайняло трошки більше години. Абсолютне збереження всіх параметрів користувачів, за вийнятком віруса...
По підрахункам, в випадку чистої переінсталяції системи прийшлось би затратити десь ~4-6 годин на все.

PPS. З сумом дивлюсь на наступний системний блок... Там щось з "драйверами"... Мабуть...

PPPS. Далі буде!
Бажаю Вам відсутності вірусів.

Адрес уведомления об обратной ссылке для этой записи:

http://itua.name/ru/trackback/715

Ответить

Содержание этого поля является приватным и не предназначено для показа. Если у вас есть аккаунт в Gravatar, связанный с этим e-mail адресом, то он будет использован для отображения аватара.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <img> <center> <b> <i> <u><h1><h2><h3><h4><h5><h6><strike><q><abbr><tr><td><table><br><p><div><span><embed><object>
  • Вы можете разместить код, используя теги <code>...</code>(общий) или <?php ... ?> (выделенный PHP).
  • Строки и параграфы переносятся автоматически.
CAPTCHA на основе изображений
Введите код с картинки

Ленты новостей

Propeople Expert

експерименти

Rambler's Top100