Комп сдох после Trojan.Win32.Pakes.crz
KAV обнаружил вирус, сказал, что для удаления необходима перезагрузка. После перезагрузки винда вываливается в синий экран и идет снова в перезагрузку, при попытке загрузить безопасный перезагружается сразу.
С другого диска добрался до логов Касперского, нашел там:
Файл: c:\windows\system32\basercl32.dll
Вирус: Trojan.Win32.Pakes.crz
Т.к. винда не грузится, не могу приложить никаких логов. Если кто знает как можно вернуть к жизни - буду благодарен.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Загрузитесь под BartPe:
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем
Session Manager\SubSystems
Ключу Windows нужно присвоить значение
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
Закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст).
Сделал, не помогло.
Смутило что не было ключа Windows, был ключ strValueName у которого значение было windows - его и заменил, ну и смутило что изменения делаются в разделе Касперского. Может я что напутал? Хотя Session Manager\SubSystems больше в реестре нет нигде.
И нельзя ли делать не из-под BartPe, а из-под винды на другом диске?
Может нужен ключ, который в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\SubSystems ?
Как его найти в MyHive?
Последний раз редактировалось umklaidet; 24.04.2008 в 11:16.
Да, правильно. Имя раздела:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
Параметр: Windows.
Только в regedit надо загружать не SOFTWARE а SYSTEM.
Кроме того, ключа CurrentControlSet не будет.
Получается, надо смотреть разделы:
MyHive\ControlSet00#\Control\Session Manager\SubSystems
где # = 1, 2, ... (обычно их два или три).
Последний раз редактировалось Bratez; 24.04.2008 в 13:47.
I am not young enough to know everything...
И еще скажите пожалуйста, какая версия KAV у Вас удалила этот файл?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Комп ожил после редактирования ключа Windows в ControlSet 1 и 2.
Загружал файл SYSTEM.
Огромное всем спасибо!
KAV 7.0.0.125
Теперь сделайте логи для контроля http://virusinfo.info/showthread.php?t=1235
Уважаемый(ая) umklaidet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
