1. Невозможно вызвать параметры "залипания" нажатием Shift 5 раз.
2. Рандомное название файлов *.tmp и *.bin вируса.
3. Рандомное расположение файлов *.tmp и *.bin.
4. Не подходят коды сгенерированные кей геном с сайта Dr.Web.
Произошло это все на ноутбуке одного из пользователей, т.к. многие Live CD в виндой часто себя плохо ведут на ноутбуках (не загружаются). Решил использовать Live CD с Linux со встроенным драйвером ntfs-3g и на всякий случай антивирусом. Выбрал от Dr.Web
(скачать).
Для того, чтобы все исправить, нам понадобится:
1. Свободный компьютер с windows.
2. Флешка.
3. Live CD с Linux c драйвером ntfs-3g.
Вставляем наш загрузочный диск и грузимся с него в любом режиме (нам нужна командная строка) . Подключить флешку можно командой :
#mkdir /mnt/flashЭто в моем случае. У себя пробуйте по аналогии. Если не получается, в интернете много статей, как это сделать.
# mount -t vfat /dev/sda1 /mnt/flash
Итак, в моем случае диск с NTFS разделом был уже подцеплен в /mnt/disk1. Далее делаем следующие :
#cd /mnt/disk1/WINDOWS/system32/configВытаскиваем флешку и идем на свободный компьютер с windows. Запускаем редактор реестра (Пуск=>Выполнить=>regedit), раскрываем ветку HKEY_LOCAL_MACHINE, идем во вкладку Файл=>Загрузить куст, выбираем наш файл software на на флешке и подсоединяем под любым удобным именем (я назвал 111). Раскрываем куст и идем по пути
#cp software /mnt/flash
#umount /mnt/flash
Microsoft=>WindowsNT=>CurrentVersion=>Winlogon (Winlogon не раскрываем). В корне мы увидим параметр Userinit, открываем его и смотрим, куда у нас сохранился вирус. У меня "C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\user\LOCALS~1\Temp\don1A9.tmp", т.е. в моем случае он сохранился в "C:\Documents and Settings\user\Local Settings\Temp"
Переходим к больному компьютеру (который все еще работает на LiveCD). Идем по пути, который мы нашли в кусте реестра с больной машины, и удаляем 2 файла этого вируса (они рядом с одинаковым названием, но разным расширением *.tmp и *.bin (в моем случае это были don1A9.tmp и don1A9.bin)) . Перезагружаем компьютер (должен зайти в систему нормально) и заходим опять в редактор реестра, идем по тому же пути что и ранее, и в параметре Userinit убираем все, что находится после запятой. Т.е. должно получиться "C:\WINDOWS\system32\userinit.exe" (без кавычек). Перезагружаем компьютер еще раз (на всякий) и радуемся.
