просьба к разработчикам Live.CD (sysrescue) добавить в скрипт
userinit_fix возможность лечение данного типа Winlock, блокирующего запуск userinit.exe через свой отладчик.
например:
--------------
Цитата |
---|
Полное имя C:\WINDOWS\TEMP\AS.EXE Имя файла AS.EXE Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 197632 байт Создан 21.09.2011 в 17:32:11 Изменен 20.09.2011 в 04:03:34 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя Dope.exe Версия файла 8.1 Описание Tang Teach Rims Производитель Stay Shone Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Тип запуска Неизвестный отладчик приложения(ий) Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка SHA1 897EE897D0166B5A3F2C3825E7842FADC0197056 MD5 337A03667BAD1CC78B5930C07E9B428F Ссылки на объект Ссылка HKLM\wiqteirap\Software\Microsoft\Windows\CurrentVersion\Run\s5ch0st s5ch0st C:\WINDOWS\temp\as.exe Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger Ссылка HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Run\s5ch0st s5ch0st C:\WINDOWS\temp\as.exe |
т.е. в данном случае необходимо проверить наличие в реестре
Цитата |
---|
HKLM\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger |
определить полный путь на файл отладчика,
поместить в карантин данный файл, удалить его из системы,
найти в реестре все записи, где в качестве параметра указан данный путь, и удалить данные записи из реестра.
удаление просто файла, в данном случае
as.exe, не решает проблему доступа к рабочему столу.
(будет автоматическое завершение сессии, и новое приглашение ввести пароль),
удаление только записи с отладчиком приведет к старту файла локера, поскольку есть дополнительная запись в реестре откуда он может стартовать.