-
Junior Member
- Вес репутации
- 51
Словил 3381
Доброго времени суток!
Поймал троян просит M201517851 на 3381
Гружусь в WinPE, там могу править реестр!
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Код:
AppInit_DLLs является пустым!
После появления банера в
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
прописывается параметр:
Код:
Prkiller.exe со значением = %system%system32\prkiller.exe
После этого, при следующей загрузке появляется синий экран смерти с сообщением о проблемах в файле: bppzsvk.sys
p.s. естественно все глушится и не дает делать отчеты!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Dim21
AppInit_DLLs является пустым!
Это вряд ли возможно
Попробуйте воспользоваться информацией из этой темы http://virusinfo.info/showthread.php?t=72176 или воспользуйтесь ERD Commander
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Мне не ясен ваш ответ я его понял так: после старта winxp PE реестр сначала необходимо загрузить в редактор реестра, и только после этого с ним работать????
т.е. если я правильно понял: после того как загружается winxp PE, значения реестра которые он показывают не являются достоверными??? ПОэтому отображение AppInit_DLLs пустым, является ошибкой??
-
Сообщение от
Dim21
ПОэтому отображение AppInit_DLLs пустым, является ошибкой??
С этим порноблокером такое невозможно
Сообщение от
Dim21
после старта winxp PE реестр сначала необходимо загрузить в редактор реестра
Куст реестра нужно загрузить
А вообще лучше использовать ERD Commander. В нем с реестром работаешь как будто бы в обычной системе
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
1.Загрузился под WinPE
2. Загрузил в редакторе из папки config файл software
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
зашел
там прописано
Код:
c:\windows\help\nvwcpth.hlp:dhl+GzqR
удалил это значение..... почистил ситему утилиткой cureIT.... Перегрузился и все равно увидел присутствие вируса например опять синий экран смерти ссылающийся на ошибку в файле bppzsvk.sys а в RUN прописался prkiller.exe
И тут возник вопрос в чем разница между ERD и WinPE: скачал erdcommander 2010 записал на диск.. загрузился с него... открыл реестр там не показывается что в RUN прописался prkiller.exe... Т.е. под erd я вижу все нормальные процессы которые у меня всегда грузились (среди них prkiller.exe нету) комп не грузится из-за синего экрана смерти.. Если же гружусь из под winPE вижу в RUN только prkiller.exe (стандартные процессы вижу только после того как подгружаю куст реестра) удаляю его и без проблем загружаю винду в нормальном режиме без экрана смерти...
установил обновления после SP3 preSP4 от 26ноября.
Последний раз редактировалось Dim21; 25.05.2010 в 00:44.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-