プライスロトの不正プログラム復旧方法

プライスロトの不正プログラム復旧方法 at SEC

1:AKIO
01/08/21 00:13
URLﾘﾝｸ(www.iosnet.ne.jp)
にも書いてたんですが、ごちゃごちゃしたのでこっちにも書かせて。

まず、感染するとほとんどのアプリの起動が制限されて、またすべ
てのドライブにアクセスできなくなるのでこれを復旧します。僕の
レジストリハイブを間違いまで真似した「日本ネットワークアソシ
エイツのAVERTウイルス解析チーム」はこれを認識していないので
あの方法ではダメです。

・マシンを再起動し、ブート時にF8キーを押すことでメニューを出します。
・「Command Prompt Only」でコンソールに入ります。
・「edit c:\rescue.reg」と入力し、実行します。
・後述の"レジストリハイブ"の４行を正確に入力します。
・ファイルを保存し、エディタを終了します。
・「regedit c:\rescue.reg」と入力し、実行します。

これでアプリとドライブの制限が消えますので、次に本格的な復旧をします。

URLﾘﾝｸ(www.geocities.co.jp)

を参照し、Start!ボタンをクリックします。
（なお、このブラウザによる仕上げは攻撃されたときと同じ脆弱性を
利用して行います。このまえにパッチを当ててしまうと利用できません。）

・再起動します。

これで復旧します。
レジストリハイブの内容は次の発言に。

レスを読む