SuperDee
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Deni005
Цитата:| Я там уже был ничего относящегося к удалению BackDoor.Uragan'а и чистки реестра после него не нашел! |
Цитата отсюда:
Цитата: 30.04.2006 ADINF.SUPPORT:
================================================================
Что-то много желающих стало прописаться в Winlogon Notify (Backdoor.Uragan,
Backdoor.Bech и т.п.). Просто так сдуру это удалить нереально, хоть в обычном,
хоть в безопасном режиме. Что интересно - сразу же после загрузки, в смысле
еще до перезагрузки, оно уже так неплохо защищено.
Вроде уже удаление их упоминалось в этой конференции, но не грех и
повториться.
Запускаем regedit, идем в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
Там в нормальном варианте должны быть:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
Смотреть стоит по имени либо по DLLName - оно указывает на загружаемый файл.
(Hекоторые программы тоже используют этот раздел, к примеру, PcAnywhere).
Лечение довольно простое - находим сначала левый раздел.
К примеру, у Backdoor.Bech это
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\2006reg
"DLLName"="C:\Settings\2006.dll"
у Backdoor.Uragan:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\00Hedgie00reg]
"DllName"="C:\\Documents and Settings\\All Users\\?????????\\Settings\\00Hedgie00.dll"
Как видно, DllName четко указывает файл трояна. С путем .
Hа троянский раздел (2006reg, 00Hedgie00reg и т.п. в Notify) в regedit устанавливаем запреты всем на всё (останется только для создателя/владельца, его не запретишь, да это и не нужно). Удалять там что-то бесполезно - троян все равно всё свое восстановит.
Фишка в том, что эти запреты подействуют на саму винду - она не станет читать такой раздел и соответственно не загрузит троян при следующей перезагрузке (видимо, достаточно запретить для SYSTEM, но я запрещал всем кроме создателя/владельца).
Перезагружаемся, прибиваем файлы трояна и потом уже удаляем его раздел из
реестра (предварительно сняв запреты). Всё.
================================================================
У Win2k надо запускать не regedit, а regedt32.exe, и использовать не меню по правому клику, а Безопасность - Разрешения в меню программы (предварительно выделив троянскую ветку в Notify). |
Но, если ты не знаешь, что такое реестр, то я бы не советовал вообще туда лезть, а лучше пригласить знакомых, которые разбираются в этом деле.
----------
Крепко жму горло, искренне ваш... |
|
Всего записей: 2927 | Зарегистр. 25-04-2004 | Отправлено: 09:37 01-01-2007 | Исправлено: SuperDee, 09:44 01-01-2007 |
|
). 
