Головна » Вірус - Відправ СМС. Ручне вбивство.
спонсори:

Відповісти на коментар


Вірус - Відправ СМС. Ручне вбивство.

Windows Xp Professional RU
При завантаженні, ще до появи робочого стола відкривається чарівне віконечко з проханням "заплатітє за использование еротических ресурсов" а ля "трєбуйєцца мзда".
Ясне діло, що антивірус - безсилий, інакше ця стаття не з'явилась би.
Правда файли тіла віруса вже відправлені Comodo та McAfee - так що вирішення проблеми існує.
Полазивши трошки "шляхами віруса" я знайшов його модифікацію, яку DrWeb Online Checker визначив як Trojan.Winlock.591

Trojan.Winlock.591

Щоправда активним був не цей вірус, а його модифікація, на яку сканер не реагував...
Як побороти...

Зараженою виявилась гілка реєстру HKLM\Software
Для її відновлення я скористався старим методом підміни гілки реєстру і підмінив з папки c:\windows\repair гілки system і software(заражені гілки звісно потрібно зарезервувати!!!)

В результаті вдалось завантажити майже чисту систему, якою вона була на етапі інсталяції.

Але, це по суті "крива переінсталяція", а не те, що потрібно отримати.

Для коректного відновлення - потрібно витягти "заражену" гілку software і почистити її.
З резервної копії файлу software потрібно вичистити залишки вірусу.
Для цього на свіжепіднятій системі підключив "криву гілку реєстру" з допомогою команди reg

reg.exe load hive

reg load HKLM\TEST software
В результаті є доступ до файлу реєстра, в якому потрібно відновити параметр
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Який повинен вказувати лише шлях до файлу userinit.exe.
Все інше, що вказує на різноманітні kui341.tmp з папки c:\temp або з папки Recycler - злосно грохаєм.
Після того як вичистили цей параметр і викинули все лишнє з автозавантаження
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows\CurrentVersion\Run
(реально-параноїдально можна стерти там все), повертаємо назад "заражено-відновлений" файл software в папку c:\windows\system32\config поверх того, з допомогою якого вдалось завантажити систему.

Наступний крок - чистка системи від вірусів, які до цього часу вже гарно там осіли(особливо в папці Temp, на яку вказував параметр Userinit з "кривого" реєстру).

PS. Відновлення системи зайняло трошки більше години. Абсолютне збереження всіх параметрів користувачів, за вийнятком віруса...
По підрахункам, в випадку чистої переінсталяції системи прийшлось би затратити десь ~4-6 годин на все.

PPS. З сумом дивлюсь на наступний системний блок... Там щось з "драйверами"... Мабуть...

PPPS. Далі буде!
Бажаю Вам відсутності вірусів.

Trackback URL для цього допису

http://itua.name/uk/trackback/715

Відповісти

Вміст цього поля є приватним і не буде доступний широкому загалу. If you have a Gravatar account associated with the e-mail address you provide, it will be used to display your avatar.
  • Дозволені теґи HTML: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <img> <center> <b> <i> <u><h1><h2><h3><h4><h5><h6><strike><q><abbr><tr><td><table><br><p><div><span><embed><object>
  • Ви можете розмістити код, використовуючи теги <code>...</code>(загальний) або <?php ... ?> (виділений PHP).
  • Рядки і абзаци переносяться автоматично.
Фото Капча
Введіть символи з картинки.

Об'єднати вміст

Propeople Expert

експерименти

Rambler's Top100