Недавно знакомый принес для лечения комп, который не мог загрузиться из-за блокировщика. Тот просил денег на webmoney (не SMS). Не вопрос, берем новый DrWeb CureIt + AVZ, скидываем на загрузочную флешку от Hiren, грузимся с нее и выводим нечисть. Много раз так делал. Но проблема в том, что проверка не нашла ничего. Пришлось делать вручную. - Грузимся с Windows Live CD.
- Запускаем regedit.
- Подключаем фрагмент реестра зараженной машины. Для этого становимся, например, на куст HKLM, выбираем Файл / Загрузить куст... Находим файл X:\WINDOWS\system32\config\software, где X - буква системного диска пациента.
- Даем имя новому подразделу. В результате в нашем разделе HKLM появилась новая ветка с HKLM/Software зараженной машины.
- Нужно зайти в раздел \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon присоединенного реестра и проверить значения параметров Shell (должно стоять Explorer.exe) и Userinit (должно стоять C:\WINDOWS\system32\userinit.exe,). Лишнее нужно стереть.
Но в этих разделах все было в порядке. Пришлось брать с чистой системы файлы explorer.exe и userinit.exe и заменять ими файлы на зараженном ПК. Помогло. Правда, в оригинале, файл userinit.exe должен находиться в
X:\WINDOWS\system32. В этом случае он был в двух местах, на положенном и в X:\WINDOWS (это работа трояна). Чтоб не ковыряться дальше, я заменил их оба.
Upd: Для подключения раздела HKCU зараженного ПК нужно найти файл X:\Documents and Settings\User\NTUSER.DAT,
где X - буква системного диска пациента, а User - имя пользователя, раздел HKCU которого хотим открыть. |