Инструкция по извлечению вредоносного файла

 
 

Инструкция по извлечению вредоносного файла


Эта инструкция составлена для опытных пользователей, желающих помочь в скорейшей разработке противодействия вредоносным программам, для того, что бы отправить вредоносный файл в лабораторию антивируса Dr.Web.

Делать это (ввиду специфики инфекции) проще всего с помощью Dr.Web LiveCD.
Итак, подготовительный этап:
Что потребуется: компьютер, имеющий выход в интернет с пишущим приводом, чистый записываемый диск, usb-флеш накопитель (флешка).

1. Скачайте образ диска по следующей ссылке:
ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.3.iso

2. Вставьте пустой диск в привод компакт-дисков.

3. Если на компьютере не установлено никакого программного обеспечения для записи дисков, скачайте бесплатную программу "Free ISO Burner" по следующей ссылке:
http://www.freeisoburner.com/FreeISOBurner.exe

Она не требует установки и очень проста в использовании. Достаточно просто запустить скачанный файл (FreeISOBurner.exe), в открывшемся окне нажмите кнопку "Open" и укажите скачанный ранее файл образа загрузочного диска (minDrWebLiveCD-5.0.3.iso), убедитесь, что в поле "Drive" указано название вашего привода и нажмите кнопку "Burn".

4. Когда запись диска завершится - извлеките диск из привода.

Если все ранее указанные пункты выполнены - у Вас есть LiveCD. Теперь необходимо загрузиться с него на зараженном компьютере. Подключите флешку (на нее будут копироваться нужные для анализа файлы) и поместите диск с LiveCD в привод.
Убедитесь, что ваш компьютер загружается в первую очередь с CD-привода, в котором находится диск Dr.Web LiveCD. При загрузке на экран выводится меню, в котором предоставляется возможность выбора режима запуска.
С помощью стрелок на клавиатуре выберите обычный режим загрузки Dr.Web LiveCD.

После того, как загрузка будет произведена начинается ключевая фаза всего мероприятия - копирование необходимых файлов.
Нам потребуются два файла:
C:\Windows\System32\config\system
C:\Windows\System32\config\software

Механизм копирования с помощью нашего LiveCD следующий:
После загрузки интерфейса закройте окно антивирусного сканера и запустите с рабочего стола программу Midnight Commander*. В окне программы перейдите в корневой каталог, кликнув по символу перехода в родительский каталог "..", в заголовке левого столбца появится "/". Затем перейдите в "win" => "C" => "WINDOWS" => "system32" => "config". В этом каталоге найдите файл "software" - он нам и нужен. Теперь подготовим место для копирования. Скопировать файл нужно на подключенную ранее (при загрузке компьютера) флешку. Итак, перейдите в правую колонку файлового менеджера (нажмите клавишу "Tab" на клавиатуре), способом, описанным ранее перейдите в каталог "/win" в этой директории расположены ссылки на все разделы вашего жесткого диска и внешние накопители (если таковые были подключены в момент загрузки с LiveCD), например, "C", "D", "E", "F" и т.д. выберите нужный (в качестве примера предположим, что подключенная флешка смонтирована с меткой раздела "F"). Перейдите в правом столбце в каталог "F", нажмите кнопку "F7" на клавиатуре, появится диалог создания нового каталога, введите произвольное имя, например, "reg_export" и нажмите "Enter". Зайдите в созданный каталог, затем перейдите в левый столбец (нажатием клавиши "Tab"). Напомню, в нем мы уже нашли один из нужных файлов. Выделите его и нажмите кнопку "F5" клавиатуры, файл "software" будет скопирован в каталог "reg_export" на флешке. Аналогичным способом скопируйте остальные требуемый файлы.

Теперь у Вас есть флешка с записанными на ней файлами. Приложите файлы с флешки к письму, предварительно их рекомендуется заархивровать, и отправьте нам на почту:
rum11rus@gmail.com или xxx4210@gmail.com

 

 

Вентиляторы