[StarMAUGLI]

AOST,Ar4ers,setara, Нам тоже принесли ноут с такой же ошибкой. Позавчера клиент где-то эту заразу подхватил. На ноуте установлена ХР. Шаги которые мы предприняли:
0. Внимательно прочитали эту ветку форума. Ну и про сам процесс http://www.filecheck.ru/process/lsass.exe.html
1. Обнулили BIOS на случай неправильных настроек и всяких разгонов (при возможности желательно BIOS вообще обновить, но у нас BIOS оказался единственным и следовательно последним).
2. Проверили память мемтестом.
3. Проверили жесткий диск Викторией (СМАРТ и бэд-блоки).
4. Проверили жесткий диска Виндоузским Чекдиском, на предмет повреждений в НТФС.
5. Если бы это был просто системник, то стоило бы еще проверить (а то и подменить) блок питания, кондеры, почистить от пыли и переложить термопасту, пощупать греются ли мосты, но на ноуте проверка железа более ограничена, поэтому мы ограничились предыдущими пунктами.
6. Пока шли всякие проверки, мы упорно пытали клиента на предмет обстоятельств поломки. Получалось, что он сидел в интернете, когда у него внезапно все зависло. Тогда он перезагрузился с помощью кнопки резет. Антивируса у него не было. По всему получалось - под подозрением вирусная активность, ну или, с меньшим шансом, винт или память (если учитывать некорректность горячей перезагрузки).

Когда мы убедились, что с железом все более менее нормально, то принялись за программы. Править программное обеспечение на неисправном железе дело тухлодырое, можно провозиться неделю и вообще все потерять, поэтому лучше пару часов на проверку железа все-таки потратить. Далее мы
1. Стартовали с LiveCD и запустили свеженький только что выкачаный CureIT! и отловили пару троянов. Касперыч-однодневка запускаться отказался... (по опыту скажу, что бывает и наоборот, а в идеале, лучше прогнать оба антивируса; Они прекрасно друг друга дополняют и часто доделывают не доделаную конкурентом работу).
2. Далее попытались загрузиться с винта, но сообщение осталось. Из этого мы сделали неоднозначный вывод, что черви да трояны попортили реестр (вообще, если честно, возможны были и другие причины неисправности, но мы в качестве рабочей гипотезы приняли эту). Но поскольку причину мы уже (вроде бы) устранили, то оставалось поправить реестр. Нечто подобное есть в утилите AVZ, она позволяет восстанавливать поврежденные вирусами ключи реестра (после удаления самих вирусов) парой кликов мыши (этот пример даже описывается в справке утилиты на ее сайте), но запустить ее не представлялось возможным, т.к. компьютер не загружался даже в безопасном режиме, и таск-менеджер с горячих клавиш не запускался тоже (иногда через него тоже можно запустить нужную программку).
Тогда мы попытался восстановить реестр двумя путями по очереди (и, забегая вперед, скажу, что оба раза удачно).

В первом случае, мы загрузились с LiveCD (мы пользовались последним Алкидом)
1. Зашли в папку C:\Windows\system32 и там же создали копию подкаталога \config
2. Потом, зашли в папку C:\Windows\repair и скопировали ее содержимое в папку C:\Windows\system32\config
3. Загрузка после этого прошла удачно, но откат получился на очень древнее число, возможно сразу после установки Винды, даже драйвера еще не были установленны. Хотя некоторые программы уже стояли.

Тогда, мы снова загрузились с сидюка и восстановили папку C:\Windows\system32\config из сохраненной копии в прежнем виде (копия тоже осталась на всякий случай для других работ). Что бы убедится в этом мы еще раз перезагрузились и убедились, что первоначальная проблема восстановилась. Тогда, мы перешли к восстановлению реестра вторым способом.

1. Загрузившись, опять же с сидюка, мы в одном окне проводника открыли ту же папку C:\Windows\system32\config , а во втором C:\System Volum Information\ (не знаю стоит ли говорить, что отображение системных и скрытых файлов должно быть включено? в Алкиде оно уже включено по умолчанию, но в других LiveCD может потребоваться и включить). Там есть несколько папок вида "_restore{... и много-много циферок и буковок в фигурных скобках}". Мы выбрали тот который был за день до поломки. И зашли в нее. Там, в свою очередь, много-много папочек вида "RPxxx". Опять же мы выбрали ближайшую к дате поломки. Она, кстати, оказалась последней из проиндексированных (т.е. подсвеченых синим цветом). Внутри каждой из них есть еще папочка snapshot.
2.3.4. И в каждой из них лежат сохранненые ветки реестра. Так, например, файл с названием _REGISTRY_MACHINE_SYSTEM соответствует файлу system (без расширения) в папке C:\Windows\system32\config его надо туда только перенести с переименованием. Буквально, это выглядело так: мы выделили несколько веток реестра вида _REGISTRY_*... и скопировали их в папку C:\Windows\system32\config. Далее убивали файл без расширения, например, тот же самый system, а соответствующий ему файл из скопированных просто переименовывали именем только что удаленного. Помимо system'a мы таким же макаром восстановили ветку реестра software и, может быть зря (? не знаю), sam и security (просто было лень перезагружаться 8 раз, а Алкид имеет один единственный недостаток - он не очень быстро грузится). После этого все заработало. И этот вариант был гораздо красивей. Подцепились все драйвера, программы, настройки.

Предупреждение 1: вообще этот метод лечения компьютера сыроват. Поэтому все исправления в реестре вы, если возьметесь их делать, будете их делать исключительно на свой страх и риск. Морально лучше подготовиться к полной переустановке Винды, сохранить нужные документы, архивы, сейвы игр на сторонний носитель. В этом опыте мы шли от довольно общих знаний о работе операционной системы, поэтому у нас остались дополнительные вопросы которые смог бы наверно разрулить какой-нибудь опытный сисадмин. Например, будут ли сохранены снапшоты в Винде с отключенным восстановлением системы? Какие точно ветки реестра ответственны за описанную проблему? Почему некоторые сохраненные ветки радикалльно различались по размеру? и т.п. Есть и другие ответов на которые я пока не знаю. Однако у этого метода есть неоспоримые преимущества: он опробован на практике, и он единственный в этой ветке форума (ветке основанной аж в 2006 году) предлагает реальный алгоритм шагов по восстановлению попорченых вирусами (а может быть и не только ими) веток реестра.

Предупреждение 2: Все вышеизложенное действительно для Виндовз ХР. В других инкарнациях этой ОС места вашего поиска могут отличаться (но принципы видимо те же).

Выполнять его можно не только в среде предложенной Алкидом (или любой другой версии WinPE), но и в командной строке консоли установочного диска Виндовс, или из Волков-Командера с поддержкой ntfs из набора, скажем, ХайренсБутСиДи. Скорей всего такая же правка возможна из под линукса. Главное знать ГДЕ ИСКАТЬ сохраненные Виндой ветки реестра и КУДА их КОПИРОВАТЬ (и ВО ЧТО ПЕРЕИМЕНОВЫВАТЬ) когда их найдешь. Логически вытекает, что если последние сохраненнки веток реестра повреждены, то надо пробовать предпоследние, затем пред-пред-последние и т.д. А когда все они будут перебраны то в запасе еще останется первый вариант описанный выше.

Есть подозрение, что снова появился какой-то очередной вирус атакующий реестр. Все-таки два случая за один короткий срок после длительного перерыва. Возможно следует ждать и других подобных случаев. Возможно это очередная дыра в ОС, а может просто старая дыра не закрытая сервис-паками нерадивыми пользователями.

Так же этим методом можно лечить ветки реестра поврежденные не только вирусами, но и в случае, например, если ветка реестра оказалсь записанной на поврежденную область диска (бэд-блок). Именно для этого необходимо до манипулирования ветками реестра все-таки найти и обезвредить хоть какой-нибудь деффект (аппаратный, вирусный или программный, может быть и сильно запущенный случай где представленны несколько видов повреждений). Только после тестов, проверки на вирусы и ПРАВКИ ошибок предложенный метод будет иметь смысл. В противном случае вы через некоторое время столкнетесь с той же проблемой. Но и после удачного восстановления вам будет необходимо пристально поприглядывать за компом, вдруг вы устранили не все причины неработоспособности?

После восстановления работоспособности компьютера вам конечно необходимо установить все заплатки, сервис папки, почистить реестр Ц-Клинером или его аналогом, проверить работоспособность антивируса и актуальность его баз, удалить временные файлы интернет, сделать дефрагментацию ну и т.д. Короче, почистить не только его железную часть (это та процедура которую я предлагал сделать в начале), но и программную.

UPD: Судя по комментам ниже проблему можно совершенно точно идентифицировать как вирусную активность. Соответственно для более полного обследования компьютера необходимо перейти к соответствующим веткам данного форума (эксперты выше давали соответствующие ссылки).

UPD 2: Дополнительно порыл в этом направлении. Вот что о таком (или правильнее сказать подобном) способе восстановления пишет сам Майкрософт http://support.microsoft.com/kb/307545/ru