Для этого нужно:
1. Загрузочный диск, желательно чтобы на нем был
Winternals ERD-Commander2. Тотал Коммандер/ФАР (кому что предпочтительней)
3. Утилита CureIt
4. Немного времени (на моем Асусе 2000 года выпуска заняло 10 минут)
5. Прямые руки.
6. Инструкция.
Инструкция:
1. Вставляем в привод диск и ставим загрузку с него. Как появляется окно
"Boot from CD...
Press any key to boot from CD.."
нажимаем any key и грузится оболочка диска. В моем случае она выглядит так:
Изволяем пункт выделенный красной рамкой и жмем Enter.
2. Ждем пока загрузится светло-голубой (не путать с синим, в винде это большая разница). Потом перед нами появляется окошко:
нажимаем на клавишу (сетевые подключения нам пока ни к чему)
Ждем следующего окошка:
Выбираем к какой операционке прицепиться. Этот пункт очень важен. Нужно прицепиться к действующей ОС, чтобы была возможность редактировать ее реестр.
3. Итак у нас имеем рабочий стол. Нам нужен в первую очередь
regedit и чтобы коммандер был на винте или на флешке которая будет воткнута в комп ДО загрузки. Regedit берем как указано на скрине.
4. Запускаем regedit, идем по папкам в левой стороне экрана на
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и смотрим на правую часть окна (нужно нажать на папку
winlogon). Там ищем надпись
Shell и видим за ней что-то подобное тому что на скрине:
5. Далее делаем двойной щелчок и заходим в редактирование параметра Shell. все выделенное надо убрать. Как говорилось ранее - там должно остаться
ТОЛЬКО explorer.exe и больше ничего.
Попутно запоминаем название которое будет находиться на месте подчеркнутого.
6. Открываем коммандер, идем по пути C:/Windows/system32 выставляем сортировку по дате на убывание и видим мы:
как раз тот файлик который был прописан. Смотрим его размер (если есть несколько файлов с таким же размером до байта и близкой, не блольше часа разницы - удаляем все файлы) и убиваем его через Shift+Del.
7. Идем во временную папку пользователя C:\Documents and Settings\
_ИМЯ_ПОЛЬЗОВАТЕЛЯ_\Local Settings\Temp\ и наблюдаем там эти же файлы. Их обычно там больше чем в папке system32.
Удаляем вообще желательно ВСЕ файлы оттуда, чистим папку C:/Windows/Temp
8. Запускаем CureIt на проверку, проверяем весь диск C: , перезагружаемся в свою винду и пользуемся.
Пара хинтов:
1. в принципе если времени мало - то можно после описаных процедур не проверять комп, он работает не так быстро как в штатном режиме. Можно провести эту процедуру после загрузки в операционку.
2. Перед выключением/перезагрузкой компа КРАЙНЕ РЕКОМЕНДУЮ проверять что написано в реестре на пункте Shell. Пару раз спасало. Regedit запускается: WinKey+R или "Выполнить" и в появившемся окне набираем regedit 3. В ЕРДКоммандере есть косяк (по крайней мере у меня): надо чтобы пройти к ТоталКомандеру/ФАРу нажимать не на папках Program Files, а на их плюсики. Иначе он подвисает и надолго.
4. Если что - обращайтесь в аську 127зЧ68з2 или на сотик.
5. В принципе так лечить можно не только ERD-Командером, но через него все-таки проще. Из-за возможности подцепиться к реестру стоящей винды.
6. После первой загрузки в винду иногда вылетает окошко типа rundll32.exe не найден модуль (тут указывается тот модуль который вы удалили) с клавишей ОК. Жмакаете и все. На следующей загрузке такого не возникало.
-
-
02.02.2010 в 15:44Пример^
Имя------------------------Тип-----------------------Значение
porno.exe---------------REG_SZ------------------NO
sisge.exe----------------REG_SZ------------------NO
yabigusei.exe-----------REG_SZ------------------NO
-
-
03.02.2010 в 04:53если код не подходит, то вручную просмотреть версии винлокера с указанным номером и кодом для смс(я так уже пару раз снимала людям)занимает минут 15
-
-
03.02.2010 в 09:56Плюсадин в копилку знаний))
замерзший трупик
Это только если номера для отправки смс старые. Можно схватить эту дрянь с самым новым и генерилка не поможет.
-
-
03.02.2010 в 10:54-
-
03.02.2010 в 12:47Yoshida Mana не знаю, на совсем свежие не попадала наверное, но там из пункта ВЫБОР ВРУЧНУЮ можно все возможные версии + номер смс + код для смс-текста просмотреть.
www.drweb.com/unlocker/index/?lng=ru
-
-
03.02.2010 в 13:16-
-
03.02.2010 в 19:17так что нет тут ключевое слово)
-
-
03.02.2010 в 19:39-
-
03.02.2010 в 19:55там из пункта ВЫБОР ВРУЧНУЮ можно все возможные версии + номер смс + код для смс-текста просмотреть
Да знаю я прекрасно про эти штуки, и на полезные кнопочки тоже обращаю внимание))
-
-
03.02.2010 в 20:14-
-
03.02.2010 в 21:49-
-
15.02.2010 в 17:49Opt ('TrayIconHide', 1)
#Include
$today = _NowDate()
$htime = _NowTime()
Func checkit ()
$val = RegRead ($section, $key)
if $val <> $def then
$i+=1
$logfile = FileOpen ($today&'.txt', 1)
If $logfile = -1 Then
MsgBox(0, "Ошибка", "Невозможно открыть файл.")
EndIf
FileWriteLine ($logfile, $htime&"- Изменен "&$i&" параметр"&@CRLF)
FileWriteLine ($logfile, $section&@CRLF)
FileWriteLine ($logfile, "стандартный ключ: "&$key&'='&$def&@CRLF)
FileWriteLine ($logfile, "измененый ключ: "&$key&'='&$val&@CRLF)
FileClose ($logfile)
RegWrite ($section, $key, $parreg,$def )
return ($i)
EndIf
EndFunc
$exscript = 0
Do
Sleep (5000)
$section ='HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
$i =0
$parreg = "REG_SZ"
$key ='Shell'
$def ='Explorer.exe'
checkit ()
$key ='System'
$def =''
checkit ()
$key = 'Userinit'
$def = @SystemDir&'\userinit.exe,'
checkit ()
$section = 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows'
$key = 'AppInit_DLLs'
$def = ''
checkit ()
if $i > 0 then
$alarm = "Неизвестной программой были изменено: " & $i & @CRLF & "Значений реестра, проверь систему!"
MsgBox ( 262160, "Внимание !!", $alarm, 30 )
ShellExecute($today&'.txt', "", @ScriptDir, "open")
Sleep (2000)
if FileExists ( "HijackThis.exe" ) then
Run ("HijackThis.exe")
EndIf
$exscript = 1
EndIf
Until $exscript = 1
-
-
15.02.2010 в 18:25#Include «date.au3»