sms-троян
Создано: 12-02-2010 15:24:51  Метки: windows antivir

  1. Ищем вредный процесс tasklist /s computer_name. В нашем случае им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с первого раза глаз не цепляется за название).

  2. Убиваем его через taskkill /s computer_name /pid process_id

  3. Запускаем regedit и подключаем сетевой реестр с данного компьютера. Ищем, где напакостил вирус. Оказалось, что он подменил себя в в качестве шелла:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe

  4. Также выяснилось что вирус установил политику «запрет запуска TaskManager», так что его просто так было не убить. Быстрый поиск в гугле (это было быстрее чем применять политику) показал что надо убить ветку:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr (через удалённый реестр, ключ можно найти как HKEY_USERS\SID_текущего пользователя, если залогинен один, то это просто «длинный» SID в отличе от системных коротких)

  5. Перегружаемся, запускаем Cure-It и добиваем останки вируса из временных папок.

1087 просмотров комментировать