Цитата Pili:
|
а также проверить реестр системы, загрузив его как куст или с использованием ERD Commander »
|
Могу дать адреса разделов параметров:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Здесь параметр
Shell сделать равным
Explorer.exe.
Там же параметр
Userinit сделать равным
C:\windows\system32\userinit.exe,, запятая важна, если система не на диске C:, то просто
userinit.exe, подойдет.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В данном разделе удалить параметр
ekzabc - он запускает вирус.
Учтите, что работа с реестром из-под др. Windows или Windows PE/BartPE выглядит так.
1. запускаем regedit.exe
2. нажимаем на HKEY_LOCAL_MACHINE
3. выбираем Файл, Загрузить куст (File, Load hive), выбираем файл SOFTWARE.
4. Пишем имя "TEST".
5. Дальше ищем параметры в нем, например
HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\ TEST\Microsoft\Windows NT\CurrentVersion\Winlogon.
6. Выбираем HKEY_LOCAL_MACHINE\TEST и жмем Файл, Выгрузить куст (File, Unload hive).
