ynbIpb
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ходил сегодня на вызов. Вот и мне попался подобный экземпляр. (клик для увеличения) Пациент сидел в гавновконтактах и вдруг оно вылезло. Как оказалось пролез через эксплоит в яве. Антивирус стоял фришный AVG. При запуске кидает свое тело в: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe и прописывает его в реестре вместо проводника HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell - Это отвлекающий манёвр. Идём дальше: Удаляет: userinit.exe и taskmgr.exe в папке C:\WINDOWS\system32\, вместо них подсовывает своё тело. Тоже самое в каталоге C:\WINDOWS\system32\dllcache\, чтоб операционная система не восстановила файлы, кстати как-то он обошёл систему слежения за важными файлами, которая должна выводить сообщение про подмене и просить вставить оригинальный диск. Ах да на самом деле он не удаляет userinit.exe, так как во время работы системы это не возможно. он его переименовывает, например в 03014D3F.exe Лечение: Грузимся с LiveCD, который поддерживает работу с реестром, исправляем отвлекающий манёвр, Далее вставляем оригинальный диск Windows и в Total Commander открываем заархивированный оригинальный файл userinit.ex_ (будучи у пациента я не заметил переименованный оригинал, хотя подозревал) и извлекаем в те места, где он должен быть. Тоже самое и с taskmgr.exe (кстати у пациента он не был удалён) тело зловреда: _http://zalil.ru/31044628 (NOD32 палит криптор, которым накрыт зловред) |