Русская Идея - Люди, помогите!

From: uncle_tk@lj Date: June 27th, 2011 - 01:38 pm (Link)

Проверенный метод:
1)извлекаем ж/д.
2)Подключаем к чистому компу
3)лечим практически любым антивирем(у меня MS Security Essentials, но это без разницы)
4) подключаем ветки реестра hkcu и hklm к местному реестру
5) в KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
должен быть параметр Shell=Explorer.exe
6) пробуем вернуть все на место и запустить.
7) при плохом сценарии придется восстанавливать ещё несколько ключей реестра, обычно вышеприведенного хватает.

(Reply to this) (Thread)

From: kot_begemott@lj Date: June 27th, 2011 - 01:44 pm (Link)

Я и посоветовал человеку именно этот метод. В реестре человек не работал никогда (чайник, типа:), а я - очень давно. Как там искать параметр shell=Explorer.exe?

(Reply to this) (Parent) (Thread)

From: putinnitup@lj Date: June 27th, 2011 - 02:02 pm (Link)

Вчера сам поймал этот троян. Ничего не помогало. Выручил Kaspersky WindowsUnlocker, который входит в Kaspersky Rescue Disk 10. Тут описание: http://support.kaspersky.ru/viruses/solutions?qid=208641245.

В кратце, как это получилось у меня:
1. Скачал образ программы и залил на CD (можно на флешку).
2. Загрузился с CD (флешки).
3. При загрузке почему-то очень долго пришлось ждать, когда программа создаст файл подкачки (ок.3,5 ч).
4. Далее запустил Kaspersky WindowsUnlocker, который написал, что всё разблокировал.
Вроде бы всё, я правда, ещё встроенным в Kaspersky Rescue Disk 10 антивирусом проверил все диски.

Система и в правду разблокировалась:)

(Reply to this) (Parent)

From: uncle_tk@lj Date: June 27th, 2011 - 02:10 pm (Link)

1. запускаем regedit.exe (Пуск-выполнить)
2. выбираем нужный куст реестра - HKEY_LOCAL_MACHINE и в меню Файл щелкаем на загрузить куст
3. загружаем соответствующий файл больного реестра x:\Windows\system32\config\software где Х - это зараженный диск и подключаем его под любым именем
4. там идем по дереву - Microsoft\Windows NT\CurrentVersion\Winlogon
И там ищем как раз параметр Shell=Explorer.exe

(Reply to this) (Parent) (Thread)

From: ext_685931@lj Date: June 27th, 2011 - 03:36 pm (Link)

+1
дополнения и замечания:
- можно воспользоваться LiveCD
- после исправления параметров реестра подключённые кусты ОБЯЗАТЕЛЬНО надо ВЫГРУЗИТЬ иначе не сохранится
- вирус может быть как software так и в профиле пользователя - ветка HKEY_CURRENT_USER (C:\Documents and Settings\%username%\NTUSER.DAT)

(Reply to this) (Parent) (Thread)

From: kot_begemott@lj Date: June 27th, 2011 - 10:08 pm (Link)

Объясните для чайников, что такое "выгрузить подключенные кусты"))) Я более 5 лет реестром вообще не занимался.

(Reply to this) (Parent) (Thread)

From: imperio_de_gato@lj Date: June 28th, 2011 - 01:27 am (Link)

после того как сделали все манипуляции в реестре - прав кл мыши на подключённом кусте - выгрузить куст

(Reply to this) (Parent)