Словил 3381

Доброго времени суток!
Поймал троян просит M201517851 на 3381
Гружусь в WinPE, там могу править реестр!

ветка
[CODE]
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
[/CODE]

параметр
[CODE]
AppInit_DLLs является пустым! [/CODE]

После появления банера в
[CODE]
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[/CODE]

прописывается параметр:
[CODE]
Prkiller.exe со значением = %system%system32\prkiller.exe
[/CODE]
После этого, при следующей загрузке появляется синий экран смерти с сообщением о проблемах в файле: bppzsvk.sys

p.s. естественно все глушится и не дает делать отчеты!

[QUOTE='Dim21;642588']AppInit_DLLs является пустым![/QUOTE]Это вряд ли возможно
Попробуйте воспользоваться информацией из этой темы [url]http://virusinfo.info/showthread.php?t=72176[/url] или воспользуйтесь [B]ERD Commander[/B]

Мне не ясен ваш ответ я его понял так: после старта winxp PE реестр сначала необходимо загрузить в редактор реестра, и только после этого с ним работать????
т.е. если я правильно понял: после того как загружается winxp PE, значения реестра которые он показывают не являются достоверными??? ПОэтому отображение AppInit_DLLs пустым, является ошибкой??

[QUOTE='Dim21;642617']ПОэтому отображение AppInit_DLLs пустым, является ошибкой??[/QUOTE]С этим порноблокером такое [B]невозможно[/B]

[QUOTE='Dim21;642617']после старта winxp PE реестр сначала необходимо загрузить в редактор реестра[/QUOTE]Куст реестра нужно загрузить

А вообще лучше использовать ERD Commander. В нем с реестром работаешь как будто бы в обычной системе

1.Загрузился под WinPE
2. Загрузил в редакторе из папки config файл software
[CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]

зашел

[CODE]AppInit_DLLs[/CODE]
там прописано
[CODE]c:\windows\help\nvwcpth.hlp:dhl+GzqR[/CODE]
удалил это значение..... почистил ситему утилиткой cureIT.... Перегрузился и все равно увидел присутствие вируса например опять синий экран смерти ссылающийся на ошибку в файле bppzsvk.sys а в RUN прописался prkiller.exe

И тут возник вопрос в чем разница между ERD и WinPE: скачал erdcommander 2010 записал на диск.. загрузился с него... открыл реестр там не показывается что в RUN прописался prkiller.exe... Т.е. под erd я вижу все нормальные процессы которые у меня всегда грузились (среди них prkiller.exe нету) комп не грузится из-за синего экрана смерти.. Если же гружусь из под winPE вижу в RUN только prkiller.exe (стандартные процессы вижу только после того как подгружаю куст реестра) удаляю его и без проблем загружаю винду в нормальном режиме без экрана смерти...

установил обновления после SP3 preSP4 от 26ноября.

И что это?