Доброго времени суток!
Вот очередного "вымогателя" надо вылечить, выдает блокирующее окно как в обычном режиме, так и в безопасном. В связи с чем возник вопрос - а каким образом вообще может запускаться вымогатель и любая другая программа в безопасном режиме? Службы, автозагрузка и драйвера не запускаются. Откуда тогда окно все же появляется? И как наиболее эффективно с этим бороться?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ой-ли. Прописать службу и драйвер в ветку SafeBoot - запустятся без вопросов. Параметры Shell и Userinit подраздела Winlogon, загрузка библиотек через Notify. Уже хватает и без буткитов.Сообщение от Merlin_ULG
Обратиться в Помогите...
...причиняю добро и наношу непоправимую пользу...
А поподробнее можно? Ссылочкой на статью про способы запуска в безопасном режиме можно. А прежде чем обращаться в "Помогите", я сам себе и другим пробую помочь, благо программист-сисадмин. И хочу владеть информацией, чтобы успешно ее применять в деле борьбы с силами зла.
Видимо знания настолько тайные, что только для избранных, а не для разных анонимусов и уж тем более зарегистрированных пользователей...
Так а уже был дан ответ:Видимо знания настолько тайные, что только для избранных, а не для разных анонимусов и уж тем более зарегистрированных пользователей...
http://virusinfo.info/showthread.php...l=1#post808487
Те sms-блокеры, которые мне доводилось лечить, действовали довольно однотипно: модифицировался параметр shell (с указанием на исходное тело вируса), после перезагрузки userinit.exe и taskmgr.exe заменялись на тело вируса. Возможны и другие варианты запуска в безопасном режиме, какой вариант - ваш, никто из хелперов без логов не скажет. А защита - простая: работать под учетной записью пользователя (а не опытного пользователя\администратора)
Вышеозначенного вымогателя я вылечил, был такой как этот: http://virusinfo.info/showthread.php?t=105464 (только без дальнейших проблем, просто замена userinit.exe и убийство экзешника).
Мой вопрос был, где вообще теорию почитать можно, статью хорошую обучающую про все (ну или наиболее распространенные) способы запуска в безопасном режиме. Безотносительно конкретного вируса и в рамках самообразования.
http://www.rsdn.ru/article/baseserv/winlogon.xml
http://rsdn.ru/forum/winapi/2181256.aspx
Про AppInit_DLLs сами поищите...
Спасибо, почитаем и поищем
Ваши права в разделе
Ответить с цитированием
