Главная
Форумы
Новые сообщения
Поиск сообщений
Что нового?
Новые сообщения
Новые ресурсы
Последняя активность
Ресурсы
Последние отзывы
Поиск ресурсов
Помощь форуму
ЧатTG
Вход
Регистрация
Что нового?
Поиск
Поиск
Искать только в заголовках
От:
Новые сообщения
Поиск сообщений
Меню
Вход
Регистрация
Приложение
Установить
Форумы
Компьютерная безопасность
Борьба с типовыми зловредами
Удаление вируса руткита - Rootkit.Win32.TDSS
JavaScript отключён. Чтобы полноценно использовать наш сайт, включите JavaScript в своём браузере.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно.
Вам необходимо обновить браузер или попробовать использовать
другой
.
Ответить в теме
Сообщение
[QUOTE="antanta, post: 48484, member: 2778"] Приветствую всех. Детектирование и вынос TDL3 народными средствами. Как известно, этот злодей не создает свой драйвер, а заражает случайны из списка годных для заражения. При этом,иногда, AVZ продолжает определять файл драйвера как безопасный. Выявлен баг, который позволяет выявить заражение. Проверялось на XP. Если каким-то из способов заблокировать защиту файлов Windows, и удалить файлы драйверов из папки \System32\drivers, то TDL попытается восстановить зараженный файл, создав файл нулевого размера, чем и выдает себя. Разумеется, следует сперва сделать бэкап папки :) . Если мы хотим заполучить полнофункциональную тушку, об этом следует позаботиться заранее. Для этого нужно поместить в drivers правильный файл. Он мгновенно будет заражен. А вот копировать его(при активном заражении) для исследования уже бесполезно, получим бытый дров. Допустим, зараженным оказался disk.sys. Лечение: 1) Открываем в редакторе реестра HKEY_LOCAL_MACHINE\SYSTEM\Select. Смотрим, какой ControlSet прописан в LastKnownGood. Пусть это будет ControlSet002. Помещаем правильный драйвер (например из дистрибутива) в каталог drivers, но под измененным именем, в нашем случае пусть будет XXXDisk.sys 2) Открываем ControlSet002\Services\Disk.sys, меняем параметр ImagePath на system32\DRIVERS\XXXdisk.sys 3) Перезагружаемся, жмем при старте F8, выбираем "Загрузка последней удачной конфигурации". 4) Имеем чистую систему и тушку - disk.sys. Последний переносим в карантин. Далее, по хорошему, следует дать нашему "XXX" нормальное имя, и исправить ImagePath на system32\DRIVERS\disk.sys Проверялось на версиях, актуальных на начало июля сего года. [/QUOTE]
Вставить цитаты...
Проверка
Ответить
Форумы
Компьютерная безопасность
Борьба с типовыми зловредами
Удаление вируса руткита - Rootkit.Win32.TDSS
Сверху
Снизу