Поиск по этому блогу

воскресенье, 16 сентября 2012 г.

Dr.Web LiveCD 6.0.2 beta редактируем реестр

Хочу рассказать о новой возможности диска аварийного лечения и восстановления от компании Dr.Web-редактирование реестра.
В частности разговор пойдет о Dr.Web LiveCD 6.0.2 beta
Ссылки на файлы дистрибутивов:
http://beta.drweb.com/files/?p=livecd%2Fdrweb-livecd-602-beta.iso&lng=ru&t=f

Скачиваем и записываем на болванку.

Демонстрировать работу будем на машине зараженной Trojan.Winlock.6492





1. Вставляем диск с записаным образом Dr.Web Livecd в привод.

2. Перезагружаем машину и входим в настройки БИОС (в большинстве случаев для этого необходимо нажать клавишу F2 или Del).


3. Переходим на вкладку Boot


4. Нажимаем несколько раз клавишу + для того чтобы CD Rom Drive было вверху.

5. Нажимаем клавишу F10 для сохранения настроек


Нажимаем Yes для подтверждения.

6. Началась загрузка лайфсд. Выбираем язык интерфейса. Мне удобней на русском.
Нажимаем клавишу энтер.


7. Продолжается загрузка операционной системы с диска. Ждем.



8. Появился сканер. Сворачиваем его. Нам он пока не нужен.

9. Запускаем Файловый менеджер.


10. С помощью клавиши TAB переходим в правую панель (или можно щелкнуть по ней мышкой).


11. Становимся на reg и нажимаем клавишу энтер или два раза щелкаем мышкой и ждем пока подгрузится реестр.


12. Щелкаем по букве диска, на котором установлена операционная система. У меня это диск С.


13. Щелкаем по HKEY_USERS



14. Вот так отображаются имена учетных записей. Я выберу самую длинную и нажатием клавиши энтер войду в нее.


15. Теперь нам нужно поочередно прощелкать весь путь

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Просто  я знаю куда прописывается этот троян

http://mrbelyash.blogspot.com/2012/09/trojanwinlock6492-79670416903.html

16. Для этого становимся курсором на Software и нажимаем энтер. Потом становимся на  Microsoft и нажимаем энтер...и так далее.
Пока не пройдем весь путь   SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon



17. И так мы попали в ветку Winlogon и там наблюдаем папку(ключ реестра) Shell



18. Для того чтобы просмотреть содержимое этого ключа нажимаем клавишу F3



Вот он полный путь к трояну. Запоминаем его или записываем на бумажку.

19. Нажимаем клавишу ESC чтобы выйти из просмотра.

20. Нажимаем кнопку F8 . Убедитесь что курсор стоит на файле(ключе реестра) Shell.


21. Подтверждаем удаление.

22. Теперь нам нужно найти (ключ реестра) папку  HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run 

Так же как и в 13 пунке начинаем прощелкивать весь путь пока не окажемся в папке RUN



23. Курсором становимся на файл c:\Documents......xxx_video.exe и нажимаем клавишу F8 для удаления этого файла(ключа реестра).


24. Подтверждаем удаление.

25. Закрываем Файловый менеджер крестиком.

26.  Щелкаем Пуск-Выйти .



27. Вынимаем из лотка сд/двд диск и ждем загрузку операционной системы Windows.

После того как ОС загрузится- баннер уже сам не запустится. Теперь его можно спокойно найти на диске (сам файлик) путь к нему мы ведь записали на бумажку ;)

Видео как это сделать


Комментариев нет: