-
Junior Member
- Вес репутации
- 53
Winlock.2675 и ERDregedit
сегодня сделал для себя вывод, что ERDregedit не подходит для редактирования реестра винды на заблоченной машине.
но в составе Alkid Win PE есть утилита, позволяющая просматривать и редактировать реестр поражённой системы!
(использовал ZverDVD 2010)
с помощью этой утилиты и нашёл подменённый ключ "userinit".
сам локер - тривиален. ничего кроме номера телефона - нет.
перекрывает экран, не давая отображать таскманагер (хотя, по альт-табу - видно, что тот всплывает по трём-клавишам).
вес - чуть больше 52 кило.
название "xxx_video_30619.avi.exe".
пришёл скорей всего по почте, в спам-рассылке с какого-то рассадника, типа майл.ру (о чём-то таком при мне говорили страдальцы). судя по месту обитания - залез через оперу (правда не уточнял какой версии).
текст - примерно такого содержания: "просмотр порно... пополнить баланс абонента мтс 89853132746 через терминал экспресс-оплаты... в чеке будет указан код разблокировки...".
G:\~a\~vir\xxx_video_30619.avi.exe
-------------------------------- File version info:
-------------------------------- Section info (3 sections):
Section: UPX0
VirtualSize: 0001F000
VirtualAddress: 00001000
PointerToRawData: 00000200
SizeOfRawData: 00000000
Flags: E0000080
Section: UPX1
VirtualSize: 0000D000
VirtualAddress: 00020000
PointerToRawData: 00000200
SizeOfRawData: 0000C800
Flags: E0000040
Section: .rsrc
VirtualSize: 00001000
VirtualAddress: 0002D000
PointerToRawData: 0000CA00
SizeOfRawData: 00000200
Flags: C0000040
-------------------------------- Imports:
KERNEL32.DLL
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
ExitProcess
Modules imported: 1
Functions imported: 6
-------------------------------- Exports:
Ordinal RVA Name
OrdinalBase: 0
NumberOfFunctions: 0
NumberOfNames: 0
Последний раз редактировалось fidres; 10.12.2010 в 19:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
fidres
сегодня сделал для себя вывод, что ERDregedit не подходит для редактирования реестра винды на заблоченной машине.
Можно об этом по-подробнее. Что конкретно не получается: подгрузить куст реестра или еще чего-то.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Какой версией ERD Commander-а пользовались? Какая операционная система ? Действительно интересно, что не получилось, ждем подробностей.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 53
Erd Commander 2005 v5.0 - входит в сборку ZverDVD 2010 (но я и до этого пользовался ERDCom2003).
наверное, просто не указал диру с виндой!.. точно.
сейчас прогнал это всё на виртуалке - предварительно нужно указать директорию винды на нужном диске. понятно.
но проще оказалось использовать regedit самой Alkid'ы (а верней несколько изменённый метод запуска самого regedit'а) - "x:\a386\system32\runscanner.exe /y /t 0 regedit.exe", позволяющий загрузить всё дерево сразу (или ветку отдельного юзера).
ERDregedit смог загрузить лишь часть реестра (хотя не исключаю возможности, что с помощью дополнительных теложвижений - и его можно заставить подгрузить все ветки, примерно так же, как с обычного regedit'а).
-
Junior Member
- Вес репутации
- 51
-
Сообщение от
User00
грузим лив сиди пробуем редактировать реестр а там
написано шо реестр закрыт администратором
Блокировка редактирования реестра действует только в пораженной системе, для LiveCD равно как и для любой внешней системы это по барабану.
I am not young enough to know everything...
-
Ответить с цитированием
