JavaScript отключён. Чтобы полноценно использовать наш сайт, включите JavaScript в своём браузере.

Ответить в теме

Сообщение: [QUOTE="antanta, post: 48484, member: 2778"] Приветствую всех. Детектирование и вынос TDL3 народными средствами. Как известно, этот злодей не создает свой драйвер, а заражает случайны из списка годных для заражения. При этом,иногда, AVZ продолжает определять файл драйвера как безопасный. Выявлен баг, который позволяет выявить заражение. Проверялось на XP. Если каким-то из способов заблокировать защиту файлов Windows, и удалить файлы драйверов из папки \System32\drivers, то TDL попытается восстановить зараженный файл, создав файл нулевого размера, чем и выдает себя. Разумеется, следует сперва сделать бэкап папки :) . Если мы хотим заполучить полнофункциональную тушку, об этом следует позаботиться заранее. Для этого нужно поместить в drivers правильный файл. Он мгновенно будет заражен. А вот копировать его(при активном заражении) для исследования уже бесполезно, получим бытый дров. Допустим, зараженным оказался disk.sys. Лечение: 1) Открываем в редакторе реестра HKEY_LOCAL_MACHINE\SYSTEM\Select. Смотрим, какой ControlSet прописан в LastKnownGood. Пусть это будет ControlSet002. Помещаем правильный драйвер (например из дистрибутива) в каталог drivers, но под измененным именем, в нашем случае пусть будет XXXDisk.sys 2) Открываем ControlSet002\Services\Disk.sys, меняем параметр ImagePath на system32\DRIVERS\XXXdisk.sys 3) Перезагружаемся, жмем при старте F8, выбираем "Загрузка последней удачной конфигурации". 4) Имеем чистую систему и тушку - disk.sys. Последний переносим в карантин. Далее, по хорошему, следует дать нашему "XXX" нормальное имя, и исправить ImagePath на system32\DRIVERS\disk.sys Проверялось на версиях, актуальных на начало июля сего года. [/QUOTE]

Проверка