- #1
Автор Темы
Есть одна уязвимость в системе XP (На win7 не проверял).
При пятикратном нажтаии на Shift срабатывает система залипания клавиш, за это отвечает программа \system32\sethc.exe
Подменим эту программу, скажем на содержимое файла cmd.exe (можно загрузиться с загрузочного диска для того, чтобы скопировать).
И, вуаля, при пятикратном нажатии на shift выскочит консоль, даже если вы не вошли в систему (большинство вирусов стартует из-под winlogon или explorer).
В консоли пишем regedit.exe, получаем доступ к реестру.
Чистим ветки
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKU/<ID пользователя>/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
проверяем содержимое ветки
HKLM/SOFTWARE/Microsooft/Windows NT/Winlogon
в этой ветке не должно быть никакис ссылок на исполняемые файлы *.exe кроме userinit.exe (чаще всего вирус дописывает себя в userinit, в тот же ключ после запятой).
Перезагружаемся без входа в систему.
Еще много всего интересного можно сделать этим методом (программы, запускаемые до входа в систему запускаеются от пользователя SYSTEM со всеми соответствующими правами доступа), но это уже - на сколько у Вас фантазии хватит...
При пятикратном нажтаии на Shift срабатывает система залипания клавиш, за это отвечает программа \system32\sethc.exe
Подменим эту программу, скажем на содержимое файла cmd.exe (можно загрузиться с загрузочного диска для того, чтобы скопировать).
И, вуаля, при пятикратном нажатии на shift выскочит консоль, даже если вы не вошли в систему (большинство вирусов стартует из-под winlogon или explorer).
В консоли пишем regedit.exe, получаем доступ к реестру.
Чистим ветки
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKU/<ID пользователя>/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
проверяем содержимое ветки
HKLM/SOFTWARE/Microsooft/Windows NT/Winlogon
в этой ветке не должно быть никакис ссылок на исполняемые файлы *.exe кроме userinit.exe (чаще всего вирус дописывает себя в userinit, в тот же ключ после запятой).
Перезагружаемся без входа в систему.
Еще много всего интересного можно сделать этим методом (программы, запускаемые до входа в систему запускаеются от пользователя SYSTEM со всеми соответствующими правами доступа), но это уже - на сколько у Вас фантазии хватит...
, ключ DWORD /Software/Microsoft/Windows/CurrentVersion/policies/DisableRegistryTools="0x1" чаще всего прописывается в разделе реестра пользователся HKCU, а на тот момент, когда предлагается чинить систему, раздел реестра пользователя (HKCU) еще не подключен.