Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Жесткий диск подключен с другому ПК; использование виндового LiveCD

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Александр
    Александр
    Александр на форуме

    Администратор
    Регистрация
    21.03.2011
    Адрес
    Казахстан
    Сообщений
    5,421
    Поблагодарил(а)
    3,531
    Благодарностей
    2,028
    Записей в дневнике
    23

    Восклицание Жесткий диск подключен с другому ПК; использование виндового LiveCD

    Данный раздел описывает особенности лечения Trojan.Winlock.3278 если Вы
    • загрузились с другой системы, подключив винчестер к другой машине
    • загрузились с виндового LiveCD


    Само важно при лечении с подобных виндовых загрузочных дисков-это не перепутать где какая система-где виртуальная,которая загрузилась с CD/DVD а где реальная.


    Удаление файлов

    Скрытый текст

    1. Теперь необходимо найти файл С:\Windows\System32\userinit.exe

      Для этого дважды щелкаем по значку Мой компьютер и в проводнике ищем этот файл

      Жесткий диск подключен с другому ПК; использование виндового LiveCD

      После того как нашли-щелкаем по нему правой кнопкой и выбираем Удалить (Delete).

      В этой же папке ищем файл taskmgr.exe его тоже удаляем.
    2. В этой же папке находим файл 03014D3F.exe правой кнопкой мышки по нему и выбираем Переименовать(Rename) и переименовываем его в userinit.exe

      Жесткий диск подключен с другому ПК; использование виндового LiveCD
    3. Находим файл C:\Documents and Settings\All Users\Application Data\22CC6C32.exe и удаляем его-это троян.

      В этой же папке возможно будет файл со странным названием и расширением .exe
      У меня например он называется vvvvv6666.exe (у вас может называться по другому..например yyyy21.exe или lvFPZ9jtDNX.exe и т.д. и т.п.) его тоже нужно удалить. Это вирус.
    4. Закрываем Проводник.





    Работа с реестром

    Большинство сборок на основе Windows не корректно читают реестр системы... Вернее они читают свой реестр,который находится в записаном образе,а нам нужно лечить реестр зараженной машины.
    Что для этого необходимо сделать.


    Скрытый текст

    1. Запускаем редактор реестра regedit.exe
    2. Выделяем HKEY_LOCAL_MACHINE

      Жесткий диск подключен с другому ПК; использование виндового LiveCD
    3. Щелкаем Файл - Загрузить куст

      Жесткий диск подключен с другому ПК; использование виндового LiveCD
    4. Переходим в папку D:\WINDOWS\SYSTEM32\config (учтите загрузочный диск может быть С,а системный показывать как D здесь нужно быть внимательным).
      Находим файл software (без каких либо расширений)

      Жесткий диск подключен с другому ПК; использование виндового LiveCD

      Нажимаем открыть
    5. Появилось новое окошко с требованием ввести имя раздела....вводите любое (я например ввожу единицу).

      Жесткий диск подключен с другому ПК; использование виндового LiveCD

      Нажимаете ОК

      Теперь если раскрыть HKEY_LOCAL_MACHINE появиться раздел 1

      Жесткий диск подключен с другому ПК; использование виндового LiveCD
    6. После того как щелкните по 1 и он развернется, щелкнуть по ветке SOFTWARE

      Жесткий диск подключен с другому ПК; использование виндового LiveCD

      После щелкнуть по Microsoft

      И так пока не пройдем весь путь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

      Обратите внимание,внизу редактора реестра пишется весь путь

      Жесткий диск подключен с другому ПК; использование виндового LiveCD

      У вас он должен быть My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    7. Теперь смотрим в правую половинку окошка редактора реестра на значение Shell

      Жесткий диск подключен с другому ПК; использование виндового LiveCD

      У меня оно равно C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
      Это ссылка на вирус. Ключ Shell необходимо исправить на Explorer.exe
    8. Для этого правой кнопкой мышки щелкаем по значению Shell и в появившемся меню выбираем Modify (Изменить).

      Жесткий диск подключен с другому ПК; использование виндового LiveCD
    9. Вводим в появившееся окошко Explorer.exe и нажимаем кнопку ОК

      Жесткий диск подключен с другому ПК; использование виндового LiveCD

      Должно получиться вот так

      Жесткий диск подключен с другому ПК; использование виндового LiveCD

    10. Теперь нам необходимо стать/выделить раздел 1

      Жесткий диск подключен с другому ПК; использование виндового LiveCD
    11. Щелкнуть Файл-Выгрузить куст

      Жесткий диск подключен с другому ПК; использование виндового LiveCD
    12. Появиться запрос...нажимаем Да

      Жесткий диск подключен с другому ПК; использование виндового LiveCD

      Если Вы не выгрузите куст,данные не сохранятся и вся работа на смарку.
    13. Теперь можно закрыть редактор реестра и перезагрузиться...баннер должен исчезнуть.


  2. 2 пользователей сказали cпасибо Александр за это полезное сообщение:

    ANDYBOND (16.07.2011), Ксения (17.07.2011)

 

 

Похожие темы

  1. Использование SafeZone
    от Александр в разделе Полезно знать!
    Ответов: 1
    Последнее сообщение: 04.11.2011, 00:35

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •