Показать сообщение отдельно
Старый 25.05.2012, 13:11   #5 (permalink)
cqr2k
Дмитрий
 
Аватар для cqr2k
 
Регистрация: 20.11.2011
Сообщений: 520
Записей в дневнике: 6
Сказал(а) спасибо: 0
Поблагодарили 4 раз(а) в 2 сообщениях
Репутация: 4891
По умолчанию

эти баннеры, насколько помню, меняют в реестре запись об оболочке - "shell", с explorer.exe на, собственно, имя зловреда. после удаления самого вируса нужно восстановить запись в HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon параметр "shell" должен быть "explorer.exe"
из под другой системы это делается той же утилитой regedit, через экспорт\импорт ветки\куста реестра. сам реестр хранится в нескольких файлах
Код:
#  динамически формируется в зависимости от оборудования
"HKEY_LOCAL_MACHINE\HARDWARE"
# генерится из файла расположенного в "%SystemRoot%\Boot\BCD"
"HKEY_LOCAL_MACHINE\BCD00000000"
# это файл "%SystemRoot%\System32\config\SYSTEM" 
"HKEY_LOCAL_MACHINE\SYSTEM" 
# файл "%SystemRoot%\System32\config\SOFTWARE"
"HKEY_LOCAL_MACHINE\SOFTWARE" 
# берётся из файла "%SystemRoot%\System32\config\SECURITY"
"HKEY_LOCAL_MACHINE\SECURITY"
# из файла "%SystemRoot%\System32\config\SAM" 
"HKEY_LOCAL_MACHINE\SAM" 
# формируется из файла "%SystemRoot%\System32\config\DEFAULT"
"HKEY_USERS\.DEFAULT" 
# из файла "%SystemRoot%\System32\config\systemprofile\NTUSER.DAT" (это учетка system)
"HKEY_USERS\S-1-5-18" 
# загружается из файла "%SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT» (LocalService)
"HKEY_USERS\S-1-5-19" 
# из файла "%SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT" (NetworkService)
"HKEY_USERS\S-1-5-20" 
# импортируется из файла "%USERPROFILE%\NTUSER.DAT"
"HKEY_USERS\<SID_пользователя>"
# формируется из файла "%USERPROFILE%\AppData\Local\Microsoft\Windows\UsrClass.dat"
"HKEY_USERS\<SID_пользователя>_Classes"
cqr2k вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070