Здравствуйте, уважаемые коллеги.
Прошу прощения, если вопрос, который мне хотелось бы поднять, уже где-то обсуждался - мне это обнаружить не удалось. Если это было - прошу закрыть или стереть эту тему.
Так вот. Сейчас есть очень много всякой заразы, прописывающейся в автозапуск в самых разных участках реестра. Мне неоднократно приходилось попадать в ситуации, когда я, имея под рукой только BartPE с удалённым редактором реестра, вручную выискивал и правил ветки реестра заражённого компа. Этих мест в реестре предостаточно. Одно из мест в реестре описано в прикреплённой теме.
http://forum.oszone.net/thread-148188.html
Сегодня благодаря сообщению в этой теме мне довелось отыскать новый винлок, не распознанный каспером и DrWeb. Я процитирую кусок этого сообщения.
Цитата:
""В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon перезаписан параметр Shell с explorer.exe в "Shell"="C:\\Documents and Settings\\Владелец\\Local Settings\\Application Data\\Opera\\Opera\\temporary_downloads\\vip_porno_27452.avi.exe". На других машинах этот параметр может быть немного другим ""
Информация предоставлена пользователем Vitac_Black,
|
Однако после его удаления удалось выяснить, что он прописался ещё и в другом месте реестра - в параметре Userinit той же ветки. Нормальное его значение - C:\Windows\System32\userinit.exe,
Так вот. Моё предложение - если это возможно технически, собрать в одном сообщении если не все, то хотя бы почти все возможные места прописывания троянцев в реестре с указанием нормальных значений изменённых параметров. Это может очень помочь многим коллегам, занимающимся лечением компов.
С уважением,
Сергей Любезный
