Internet Security SMS 4460
принесли очередную машинку :)
удается восстановить только с загрузочного диска редактором реестра
1. В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit возвращаем стандартное C:\WINDOWS\system32\userinit.exe, а то что после , (у меня было c:\windows\system32\sdra64.exe) удаляем
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ ключ AppInit_DLLs очищаем от мусора у меня был какой то файл H с параметрами к нему
3. Перезагружаемся проверяем диск стандартными средствами (cureit или касперский)
Чем порадовал этот вирус - нестандартным запретом антивируса - при попытке запуска антивируса возникает сообщение
Доступ к ТутПутьКАнтивирусу был ограничен Администратором по расположению правилом политики {ЦифроБуквенноеОбозначение} расположенной в опять ТутПутьКАнтивирусу (Access to ТутПутьКАнтивирусу has been restricted by your Administrator by location with policy rule {ЦифроБуквенноеОбозначение} placed on path опять ТутПутьКАнтивирусу)
В журнале событий при этом создается сообщение об ошибке 866 от имени Software Restriction Policy
решение зайти в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\ найти там то самое {ЦифроБуквенноеОбозначение} и удалить.
удается восстановить только с загрузочного диска редактором реестра
1. В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit возвращаем стандартное C:\WINDOWS\system32\userinit.exe, а то что после , (у меня было c:\windows\system32\sdra64.exe) удаляем
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ ключ AppInit_DLLs очищаем от мусора у меня был какой то файл H с параметрами к нему
3. Перезагружаемся проверяем диск стандартными средствами (cureit или касперский)
Чем порадовал этот вирус - нестандартным запретом антивируса - при попытке запуска антивируса возникает сообщение
Доступ к ТутПутьКАнтивирусу был ограничен Администратором по расположению правилом политики {ЦифроБуквенноеОбозначение} расположенной в опять ТутПутьКАнтивирусу (Access to ТутПутьКАнтивирусу has been restricted by your Administrator by location with policy rule {ЦифроБуквенноеОбозначение} placed on path опять ТутПутьКАнтивирусу)
В журнале событий при этом создается сообщение об ошибке 866 от имени Software Restriction Policy
решение зайти в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\ найти там то самое {ЦифроБуквенноеОбозначение} и удалить.