Что нового

Лечим вирусы до загрузки системы через уязвимость (XP)

Есть одна уязвимость в системе XP (На win7 не проверял).
При пятикратном нажтаии на Shift срабатывает система залипания клавиш, за это отвечает программа \system32\sethc.exe
Подменим эту программу, скажем на содержимое файла cmd.exe (можно загрузиться с загрузочного диска для того, чтобы скопировать).
И, вуаля, при пятикратном нажатии на shift выскочит консоль, даже если вы не вошли в систему (большинство вирусов стартует из-под winlogon или explorer).
В консоли пишем regedit.exe, получаем доступ к реестру.
Чистим ветки
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKU/<ID пользователя>/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
проверяем содержимое ветки
HKLM/SOFTWARE/Microsooft/Windows NT/Winlogon
в этой ветке не должно быть никакис ссылок на исполняемые файлы *.exe кроме userinit.exe (чаще всего вирус дописывает себя в userinit, в тот же ключ после запятой).
Перезагружаемся без входа в систему.

Еще много всего интересного можно сделать этим методом (программы, запускаемые до входа в систему запускаеются от пользователя SYSTEM со всеми соответствующими правами доступа), но это уже - на сколько у Вас фантазии хватит...
 

NeOnyx

.
28/4/07
1 377
228
Россия
Есть одна уязвимость в системе XP (На win7 не проверял).
При пятикратном нажтаии на Shift срабатывает система залипания клавиш, за это отвечает программа \system32\sethc.exe
Подменим эту программу, скажем на содержимое файла cmd.exe (можно загрузиться с загрузочного диска для того, чтобы скопировать).
И, вуаля, при пятикратном нажатии на shift выскочит консоль, даже если вы не вошли в систему (большинство вирусов стартует из-под winlogon или explorer).
В консоли пишем regedit.exe, получаем доступ к реестру.
Чистим ветки
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKU/<ID пользователя>/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
проверяем содержимое ветки
HKLM/SOFTWARE/Microsooft/Windows NT/Winlogon
в этой ветке не должно быть никакис ссылок на исполняемые файлы *.exe кроме userinit.exe (чаще всего вирус дописывает себя в userinit, в тот же ключ после запятой).
Перезагружаемся без входа в систему.

Еще много всего интересного можно сделать этим методом (программы, запускаемые до входа в систему запускаеются от пользователя SYSTEM со всеми соответствующими правами доступа), но это уже - на сколько у Вас фантазии хватит...

Хорошее замечание уязвимости)
 

Jagger

.
30/9/05
5 763
1 882
Екатеринбург
Большинство вирусов блокируют редактор реестра и диспетчер задач... как быть тогда?
Редактировать реестр и удалять вирусы можно загрузившись с диска ERD Commander... :icq20:
 
Большинство вирусов блокируют редактор реестра и диспетчер задач... как быть тогда?
А вы попробуйте :), ключ DWORD /Software/Microsoft/Windows/CurrentVersion/policies/DisableRegistryTools="0x1" чаще всего прописывается в разделе реестра пользователся HKCU, а на тот момент, когда предлагается чинить систему, раздел реестра пользователя (HKCU) еще не подключен.
Диспетчер задач блокируется ключем DWORD DisableTaskManager, его тоже можно попутно удалить ))
 

Jagger

.
30/9/05
5 763
1 882
Екатеринбург
А вы попробуйте :), ключ DWORD /Software/Microsoft/Windows/CurrentVersion/policies/DisableRegistryTools="0x1" чаще всего прописывается в разделе реестра пользователся HKCU, а на тот момент, когда предлагается чинить систему, раздел реестра пользователя (HKCU) еще не подключен.

Хорошая утилитка AVZ после сканирования правит реестр на стандартные значения (разблокирует реестр и диспетчер задач)...
 
Хорошая утилитка AVZ после сканирования правит реестр на стандартные значения (разблокирует реестр и диспетчер задач)...
Никто не спорит, что можно использовать не только руки для лечения системы. Я показал дверь, через которую можно войти в систему минуя все пароли и запреты. А уж что с собой прихватить в помощь - решать Вам... Еще разблокировать реестр можно с помощью любого твикера (XPTweaker). Но хочу предупредить, что в данном режиме работы нужно быть осторожным с реестром, дабы не порушить систему.
 
в этой ветке не должно быть никакис ссылок на исполняемые файлы *.exe кроме userinit.exe (чаще всего вирус дописывает себя в userinit, в тот же ключ после запятой).
Перезагружаемся без входа в систему.
зделал как ты сказал у меня оказалось около 20 записей лишних удил всё вроде всё отлично правда после перезагрузки просит имя ввести Администратор
как бы мне убрать это окно ?
 
Редактировать реестр и удалять вирусы можно загрузившись с диска ERD Commander... :icq20:
Или Hiren's Boot CD или еще с любого хорошего загрузочного диска)
Или использовать этот метод, он, между прочим, не только вирусы лечить позволяет.
Например, если вы запустите из консоли /system32/compmgmt.msc, то будете приятно удивлены =)

---------- Сообщение добавлено в 11:32 ---------- Предыдущее сообщение было от в 11:29 ----------

зделал как ты сказал у меня оказалось около 20 записей лишних удил всё вроде всё отлично правда после перезагрузки просит имя ввести Администратор
как бы мне убрать это окно ?
после загрузки наберите Пуск/Выполнить --> control userpasswords2, там снимите галочку "требовать ввода логина и пароля", и в появившемся окне введите логин и пароль, с которыми система автоматически должна загрузиться.
 

Похожие Темы

Кто читал эту тему (всего: 1) Детально

Верх Низ