Позвонили юзеры из филиала и пожаловались, что на компьютере только заставка и больше ничего нет. Пробовали перезагружатся — не помолго. Подключился VNC и попробовал запустить explorer через диспетчер задач. И мне выдалось сообщение.
(windows не удалось найти ‘C:\windows\explorer.exe’. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку «Пуск», а зетем выберите команду «Найти».)
Сам файл explorer.exe я нашел, но как не ебся, запустить его не смог. Запустил через диспетчер Internet Explorer и полез копать интернет.
Файл назывался svchost.exe тока вирусный скрипт положил его не в %winroot%\system32 а в Program Files\Microsoft Shared. Кроме того, в [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe] создается ключ «Debugger»= который ссылается на тело вируса. Если тела нет, то эхсплорер не запускается! Просто удаляем этот ключ, И ВСЕ.
Самого файла svchost.exe нет, его удалял AVG Antivirus, а ключ остался. Поэтому explorer и не запускался.
Если тело живое, то надо СНАЧАЛА бутиться с загрузочного диска и удалять файл, а затем грузиться с системы и делать пункт описанный выше.
Похожие записи
Нет комментариев