Вирус меняет: explorer. Exe и userinit. Exe
В реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
“Userinit”=”C: \\WINDOWS\\system32\\userinit. Exe, C: \\WINDOWS\\system32\\ntos. Exe”
Ntos. Exe – не возможно удалить из реестра потому что он висит в памяти, после редактирования строки, вирус возвращает на место недостающее!
А именно: C: \\WINDOWS\\system32\\ntos. Exe
Для этого нужно удалить svchost. Exe (какой именно не скажу, удалял все! )
После удаления нужного процесса выпадет окошко в котором будет обратный отчёт одной минуты до принудительного, автоматическго перезагруза!
При этом на рабочем компе мы имеем запущенный RegEdit и находимся по отмеченному выше пути, как тока процесс убит, удаляем: C: \\WINDOWS\\system32\\ntos. Exe
Обновляем и проверяем чтобы строчка вновь не появилась!!
Если НЕ появляется значит всё ОК!, Ждём ребута!
После перезагрузки, удаляем файл (ntos. Exe) из системы!
(Это можно сделать потом из под винды или DOS’a)
Далее получаем загруженную винду без (шела) explorer. Exe
И он ни каким макаром не хочет грузится, хотя прописано:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
“Shell”=”Explorer. Exe”
P. S. В автозагрузку через реестр, типа \Run прописывать безсмысленно так как эта строка как раз и обрабатывается самим эксплорером!
- – -
Воощем сделал следующим образом:
- винда была на FAT32
- взял я с чистого дистриба WinXP эти файлы: explorer. Exe и userinit. Exe
- загрузился с флопика из под DOS’a
- ручками заменил explorer. Exe и userinit. Exe
- перезагрузился и получил 100% рабочую прежнюю винду!
Избавиться от окошка перезагрузки мона так
Пуск – сделать – shutdown. Exe -a
Похожие записи
Нет комментариев