Виртуальный Лабинск

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в эту темуОткрыть новую тему
> Ох не рой другому яму..., Лечить или не лечить?
Г`рызь
сообщение 25.5.2011, 2:45
Сообщение #1


Kомсомолец
**

Группа: Пользователи
Сообщений: 31
Регистрация: 16.11.2009
Пользователь №: 2 518



Привет форумчане!
Есть вопрос.
"Обрадовало" тут одно не очень юное дарование, кул-хацкер местного разлива.
Решило "отмстить коварно недругу отвратному" )))
Нарыл в сети вот таку пакость:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WindowsService"="C:\\WINDOWS\\system32\\shutdown.exe -r -t 60 -c \"Ошибка! Пользователь не найден! Система будет перезагружена!\""

Склепал *.reg , благо дело не хитрое, и в восторге от собственной крутости жамкнул по файлику)))
Уж не знаю как он там соглашался с запросом системы на изменение реестра, но факт - СРАБОТАЛО)))
Пакость оказалась, вполне себе, рабочая и даже живучая...
Ток вот как теперь избавиться от сей радости он, собственно, даже не задумывался. )))
Бекапа нет, восстановление отключено (оно ж кул-хацкер, на кой ему всяким бяком место занимать)
Система ХР sp3, какой то жуткий кастрированный Зверь... и диска с дистрибутивом нету...
Новую систему не хочет... обязательно нужно реанимировать эту...
Послать то я его послал... (так что пойдет к вам однако smile.gif )
Но для себя, как то, хотелось бы понять алгоритм действий при лечении такой вот пакости...
В живую сталкиваюсь впервые.
Лучше работать с лайф сд или как то с консоли можно расковырять?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Kir
сообщение 25.5.2011, 6:40
Сообщение #2


Здесь могла быть ваша реклама :)
******

Группа: Пользователи
Сообщений: 50 311
Регистрация: 14.5.2007
Пользователь №: 412



С лайф CD утилитой зайти в реестр и из папки автозагрузки (run) убрать ключ на выключение компа. Тоже мне вирус блин smile.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
moderator
сообщение 25.5.2011, 8:33
Сообщение #3


Ген.сек
******

Группа: Главные администраторы
Сообщений: 41 648
Регистрация: 6.3.2007
Пользователь №: 7



проще загрузится в Safe Mode (безопасном режиме) и переименовать shotdown.exe в любую фигню (лежит C:\Windows\ System32 ). И всё.

Либо, если умеет пользоваться regedit, то удалить соответствующую строчку из реестра.

По умолчанию, разделы "Run" игнорируются при загрузке компьютера в безопасном
http://support.microsoft.com/kb/314866
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
DeeM Vest
сообщение 25.5.2011, 15:56
Сообщение #4


Член KПСС
****

Группа: Пользователи
Сообщений: 455
Регистрация: 11.3.2007
Из: Labinburg
Пользователь №: 16



Цитата(BiTL @ 25.5.2011, 9:33) *

проще загрузится в Safe Mode (безопасном режиме) и переименовать shotdown.exe в любую фигню (лежит C:\Windows\ System32 ). И всё.

Либо, если умеет пользоваться regedit, то удалить соответствующую строчку из реестра.

По умолчанию, разделы "Run" игнорируются при загрузке компьютера в безопасном
http://support.microsoft.com/kb/314866


Или ERD Commander - загрузка со сменного носителя и редактирование реестра машины и многое другое
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Г`рызь
сообщение 25.5.2011, 16:12
Сообщение #5


Kомсомолец
**

Группа: Пользователи
Сообщений: 31
Регистрация: 16.11.2009
Пользователь №: 2 518



Цитата(Kir @ 25.5.2011, 7:40) *

С лайф CD утилитой зайти в реестр и из папки автозагрузки (run) убрать ключ на выключение компа. Тоже мне вирус блин smile.gif

Да реест лайфом поправить не проблемма) загрузить да выгрузить куст) делов то)
НО... это зная что произошло... а такого счастья как то не особо попадает)))
Обычно приходят и - "Оно сломалось! Сделай мне хорошо..."
Как диагностировать такую хреновинку(да и подобные) ...
Просто думал какие то способы есть... мало ли кто чего присоветует.. опыта то у народа море разливанное.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
moderator
сообщение 25.5.2011, 16:58
Сообщение #6


Ген.сек
******

Группа: Главные администраторы
Сообщений: 41 648
Регистрация: 6.3.2007
Пользователь №: 7



Цитата(Iskatel` @ 25.5.2011, 17:12) *

Да реест лайфом поправить не проблемма) загрузить да выгрузить куст) делов то)
НО... это зная что произошло... а такого счастья как то не особо попадает)))
Обычно приходят и - "Оно сломалось! Сделай мне хорошо..."
Как диагностировать такую хреновинку(да и подобные) ...
Просто думал какие то способы есть... мало ли кто чего присоветует.. опыта то у народа море разливанное.


Я первым делом всегда смотрю автозапуск (в реестре, в папке "автозапуск"), так что подобное не пропустил бы.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
n1ce
сообщение 27.5.2011, 16:18
Сообщение #7


Член ЦK
*****

Группа: Пользователи
Сообщений: 655
Регистрация: 21.2.2010
Пользователь №: 2 670



можно простой прогой ccleaner через реест убрать мега вирус)
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
DeeM Vest
сообщение 28.5.2011, 16:42
Сообщение #8


Член KПСС
****

Группа: Пользователи
Сообщений: 455
Регистрация: 11.3.2007
Из: Labinburg
Пользователь №: 16



Цитата(Santass @ 27.5.2011, 17:18) *

можно простой прогой ccleaner через реест убрать мега вирус)

Мудро! Но вот хорошо бы сначала загрузиться. А скриптик загрузиться не дает.
Из безопасного режима можно, но раз известно место установки, значит и оттуда же удалить можно и руками. Главное загрузиться smile.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0



 



Текстовая версия Сейчас: 28.3.2024, 11:27