-
Junior Member
- Вес репутации
- 53
Троян вымогатель, не загр рабочий стол
Приветствую. Подцепили троянчик этот, коды не подходят. После логона видим только его окно. Windows 7. Сделал вот что:
Загрузился с ERD Commander. Там в Редакторе нашел ветки:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
Userinit
C:\WINDOWS\system32\userinit.exe,
параметр
Shell
explorer.exe
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
AppInit_DLLs пустой.
-
Никаких "левых" параметров в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon не нашел, сравнивал со здоровым компом. Смотрел в ERDCommander через "Управление компьютером" что запускается с виндой - ничего подозрительного, только файлы драйвера звука, нод32 и C:\WINDOWS\system32\rdpclip.exe
Подскажите куда еще посмотреть через ERDCommander плиз?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
SlavonBG
Загрузился с ERD Commander. Там в Редакторе нашел ветки:
а вы подцепились к реестру заражённой машины? у меня есть подозрения, что вы смотрели в реестре LiveCD
-
-
Ещё
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
проверьте
Как работать с системным реестром, загрузившись с LiveCD
-
-
Junior Member
- Вес репутации
- 53
Исправил. В том же ERDcommander нажал "восстановление системных файлов". Он исправил 5 файлов, перезагрузился и баннер исчез
Добавлено через 6 минут
Да все проверил, все RUN'ы. Сейчас через msconfig уже под виндой глянул - тоже кроме дров, нод32 ничего нет. Вроде все отлично)
Последний раз редактировалось SlavonBG; 11.01.2011 в 12:39.
Причина: Добавлено
-
Он не файлы правил, а записи в реестре, наверно.
А сам зверь сидит у вас на диске, хоть и не активный, но...
Вопросов больше нет?
-
-
Junior Member
- Вес репутации
- 53
Спасибо, больше нет вопросов. Вирь уже найдем Куреитом