PDA

Просмотр полной версии : Winlock.2675 и ERDregedit



fidres
10.12.2010, 18:22
сегодня сделал для себя вывод, что ERDregedit не подходит для редактирования реестра винды на заблоченной машине.
но в составе Alkid Win PE есть утилита, позволяющая просматривать и редактировать реестр поражённой системы!
(использовал ZverDVD 2010)
с помощью этой утилиты и нашёл подменённый ключ "userinit".

сам локер - тривиален. ничего кроме номера телефона - нет.
перекрывает экран, не давая отображать таскманагер (хотя, по альт-табу - видно, что тот всплывает по трём-клавишам).
вес - чуть больше 52 кило.
название "xxx_video_30619.avi.exe".
пришёл скорей всего по почте, в спам-рассылке с какого-то рассадника, типа майл.ру (о чём-то таком при мне говорили страдальцы). судя по месту обитания - залез через оперу (правда не уточнял какой версии).
текст - примерно такого содержания: "просмотр порно... пополнить баланс абонента мтс 89853132746 через терминал экспресс-оплаты... в чеке будет указан код разблокировки...".

G:\~a\~vir\xxx_video_30619.avi.exe
-------------------------------- File version info:
-------------------------------- Section info (3 sections):
Section: UPX0
VirtualSize: 0001F000
VirtualAddress: 00001000
PointerToRawData: 00000200
SizeOfRawData: 00000000
Flags: E0000080

Section: UPX1
VirtualSize: 0000D000
VirtualAddress: 00020000
PointerToRawData: 00000200
SizeOfRawData: 0000C800
Flags: E0000040

Section: .rsrc
VirtualSize: 00001000
VirtualAddress: 0002D000
PointerToRawData: 0000CA00
SizeOfRawData: 00000200
Flags: C0000040

-------------------------------- Imports:
KERNEL32.DLL
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
ExitProcess
Modules imported: 1
Functions imported: 6

-------------------------------- Exports:
Ordinal RVA Name

OrdinalBase: 0
NumberOfFunctions: 0
NumberOfNames: 0

PavelA
10.12.2010, 23:35
сегодня сделал для себя вывод, что ERDregedit не подходит для редактирования реестра винды на заблоченной машине.
Можно об этом по-подробнее. Что конкретно не получается: подгрузить куст реестра или еще чего-то.

mrak74
11.12.2010, 00:02
Какой версией ERD Commander-а пользовались? Какая операционная система ? Действительно интересно, что не получилось, ждем подробностей.

fidres
11.12.2010, 03:31
Erd Commander 2005 v5.0 - входит в сборку ZverDVD 2010 (но я и до этого пользовался ERDCom2003).
наверное, просто не указал диру с виндой!.. точно.
сейчас прогнал это всё на виртуалке - предварительно нужно указать директорию винды на нужном диске. понятно.
но проще оказалось использовать regedit самой Alkid'ы (а верней несколько изменённый метод запуска самого regedit'а) - "x:\a386\system32\runscanner.exe /y /t 0 regedit.exe", позволяющий загрузить всё дерево сразу (или ветку отдельного юзера).
ERDregedit смог загрузить лишь часть реестра (хотя не исключаю возможности, что с помощью дополнительных теложвижений - и его можно заставить подгрузить все ветки, примерно так же, как с обычного regedit'а).

User00
26.01.2011, 14:45
а вот вопрос что если на компутере 2 вируса :)
1 Winlock обычный
2 то что обычно блокирует реестр диспетчер задач и прочее
грузим лив сиди пробуем редактировать реестр а там :)
написано шо реестр закрыт администратором :)

Bratez
27.01.2011, 15:41
грузим лив сиди пробуем редактировать реестр а там
написано шо реестр закрыт администратором
Блокировка редактирования реестра действует только в пораженной системе, для LiveCD равно как и для любой внешней системы это по барабану.