Нужна помощь Опции

[Человек_32]

SmartLex, я ж писал. скопируй explorer.exe с рабочей винды.

[SmartLex]

Человек_32, там другая проблема... где зашкерилось ещё что то от этого виря и возвращает обратно параметры реестра..

И у нас винды разные, да вирь с порчей всего, я же скинул ссылку с алгоритмом, но вот действие "в реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки" выполнить не получается - не находит, а значение параметров возвращается назад, хотя сама табличка пропала.

Сообщение отредактировал SmartLex - 3rd Jun 11 - 13:20

[Wam-pyR!!!]

SmartLex, Ну а TaskMgr запустить можно через ctrl-alt-del? Через него можно и любую программу, в т.ч. и W. Explorer. Возможно троян испортил и TaskMgr,
а Explorer не так страшно, удобный случай его заменить, а то всё больше смахивает на скандал с монополией I.E. когда Гейтсу бросали пирожные в лицо и т.п.

[SmartLex]

В Shell вместо explorer.exe прописывается cmd.exe /k start cmd.exe а в Userinit строка правильная, только диск изменяется на Х вместо С вроде всё меняешь а вот хрен после перезагрузки таже хрень выходит, сами файлы вирёвые удалил, хз что делать..?

ZombieO_o, нет, не возможно, не доходит до этого, так бы через "Выполнить" запустил

Сообщение отредактировал SmartLex - 3rd Jun 11 - 13:29

[Wam-pyR!!!]

SmartLex, Эм, ну если можно запустить regedit.exe, то можно и taskmgr.exe или любую программу включая антивирус...?
Возможно у программы regedit отсуствуют права на изменение системых файлов или другая защита,
ведь нет гарантии, что троян не был дополнительно модифицирован.

Хотя если сис админ запретил устанавливать новые программы, то редактировать реестр наверно так же нельзя.
Антивирус что я давал не требует установки - хотя бы что-то?

Сообщение отредактировал ZombieO_o - 3rd Jun 11 - 13:47

[SmartLex]

ZombieO_o, не запускаются антвирусники, 2 штуки их CureIt тоже в их числе и не требует установки, пишет Run Time error

[Wam-pyR!!!]

SmartLex, Возможно, regedit не может сохранить реестр и антивирус получить полный доступ т.к. у пользователя Not Enough Rights?
Что логова гильотинованного сис. админа об этом думает?

[SmartLex]

Хз что эта голова об этом думает, она на 850 км от меня удалена, и сейчас спокойно пьёт дома чай. Админу по телефону распистон устроили и всё, следующий сеанс по прибытию начальства из Нягани в Нижневартовск..

И Live CD глючное попалось.. на шапке виснет.. и дисков больше нет..

Сообщение отредактировал SmartLex - 3rd Jun 11 - 15:28

[Wam-pyR!!!]

SmartLex, Но день-то уже кончился для сегодняшней инспекции?
Переписать важные файлы если хоть что-то запускается и доступ к ним открыт. Думаю что переустановка ОС не займёт так много времени.
Всё когда-нибудь умирает. Зато подумай сколько дефрагментированных файлов разом удалятся при форматировании

[SmartLex]

ZombieO_o, да файлы уже здёрнули) осталось побороть вирус т.к переустанавливать не с чего, а лишатся компа мне (так как тогда мой пойдёт в работу) очень не хочется..

[Человек_32]

SmartLex, мне кажется ты что-то неправильно делаешь.

1. загрузившись с liveCD ты запускаешь regedit и подключаешь куст реестра SOFTWARE (C:\WINDOWS\system32\config) и
куст пользователя под которым обычно логинится юзер (C:\Documents and Settings\%username% файл ntuser.dat) с "больной" винды.

2. правишь там Shell и Run и RunOnce.

3. обязательно выгружаешь кусты иначе изменения не сохраняются!!!

4. если это не помогает, переписываем файлы winlogon explorer и userinit

ты так делал?

[SmartLex]

Человек_32, я не могу запустится с LCD, на шапке виснет.

Userinit, уже переписан, Shell исправлен, Run и RunOnce не трогал. Что за кусты??

Сообщение отредактировал SmartLex - 3rd Jun 11 - 17:47

[Человек_32]

SmartLex, ммм..если ты не запустился с LCD то как ты добрался до реестра?
кстати по той ссылке весьма убожеский вариант исправления.

[SmartLex]

Человек_32, вариант довольно таки нормальный и меньше всего опирающийся на по, а до реестра добрался через Тотал командер из неполного скаченного WinPE_uVS мне бы полную версию и я бы этот вирь добил... и диск ещё один новый..

Сообщение отредактировал SmartLex - 3rd Jun 11 - 18:57

[Wam-pyR!!!]

SmartLex, TC можно запустить предварительно выставив у ярлыка свойства / совместимость "запускать от имени администратора"?
Тогда вызванный через командную строку regedit должен работать как надо, скрестив пальцы в путь...