AndyK
26.01.2010, 06:38
Занятная штучка Столкнулся с сией "безделушкой" на 3-х машинах в одном заведении культуры. Распростаняется через флэшки (файлы autorun.inf и Thumbs.db.exe). При запуске экзешника под WinXP меняется тема рабочего стола (фоновый рисунок с надписью hacked by kamba) , бутскрин (патчит ntoskrnl.exe), появляется фоновый рисунок корневой папки (с той же пресловутой надписью hacked by kamba) . В свойствах тему поменять дает, но через пару секунд возвращается. Зараза сидит в WINDOWS\system32\wbem\cache\files\csrss.exe. После удаления файлика дает вернуть тему рабочего стола, перестает "сыпать" на флэшку autorun.inf и thumbs.db.exe. В корне системного диска удаляем desktop.ini (убираем фоновый рисунок), удаляем файлы:
WINDOWS\system32\ofnimeo.dll
WINDOWS\system32\oeminfo.ini
WINDOWS\system32\oemlogo.bmp,
заменяем патченный ntoskrnl.exe. Вроде бы все. Может кому поможет.
WINDOWS\system32\ofnimeo.dll
WINDOWS\system32\oeminfo.ini
WINDOWS\system32\oemlogo.bmp,
заменяем патченный ntoskrnl.exe. Вроде бы все. Может кому поможет.