- Ищем вредный процесс tasklist /s computer_name. В нашем случае им оказался user32.exe (весьма неплохой финт ушами на мой взгляд, с первого раза глаз не цепляется за название).
- Убиваем его через taskkill /s computer_name /pid process_id
- Запускаем regedit и подключаем сетевой реестр с данного компьютера. Ищем, где напакостил вирус. Оказалось, что он подменил себя в в качестве шелла:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell. Возвращаем на explorer.exe
- Также выяснилось что вирус установил политику «запрет запуска TaskManager», так что его просто так было не убить. Быстрый поиск в гугле (это было быстрее чем применять политику) показал что надо убить ветку:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr (через удалённый реестр, ключ можно найти как HKEY_USERS\SID_текущего пользователя, если залогинен один, то это просто «длинный» SID в отличе от системных коротких)
- Перегружаемся, запускаем Cure-It и добиваем останки вируса из временных папок.
1383 просмотров
Указатель атрибутов HTML 4.0
комментировать