eKAV антивирус
Попался моему другу счастливый баннерчик с сабжевым именем.
Просит отправить СМС на номер, блокирует запуск диспетчера задач и редактора реестра, при скачивании антивируса тут же грохает экзешник. Приятный и достойный противник. Попытки что-то сделать дистанционно и в телефонном режиме ни к чеу не привели. Пациент был доставлен ко мне домой. Проблема была решена.
Метода - грузимся с ЛивСД (я использовал Infra CD, не новый диск но проверенный и не раз выручавший). На Инфре есть редактор удаленного реестра, позволяет подключить ветки реестра "пациента". Чудо-программа называется RegEdit PE.
Нас интересует
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
тут смотрим параметр - AppInit_DLLs. если есть строка с бредом в конце - типа ":FRfS5xF+XC"
нам повезло. Удаляем. Кроме того, не лишним будет почистить все темпы в профиле аользователя, предварительно оценив бредовость имен ДЛЛек. У меня была такая одна. Поиск по реестру привел к тому, что эта ДЛЛка была найдена в ветке реестра, отвечающей за исключения антивируса ТрендМайкро (этот антивирус в жизни не стоял на "пациенте")
Итак, почистив реестр, любым удобным способом копируем на пациента Антивирус Зайцева (AVZ). Перезвгружаемся, грузимся с жесткого диска. Запускаем AVZ, выбераем в менюшках - Файл -- Восстановление системы. Я выбрал все галки (пациенту уже хуже чем было не стало бы), жмем Выполнить отмеченные операции. Ждем. Перезагружаемся. Наблюдаем операционку, которой стало значитель легче дышать, при этом можно запустить дисп. задач, редактор реестра и то, что раньше не запускалось.
Просит отправить СМС на номер, блокирует запуск диспетчера задач и редактора реестра, при скачивании антивируса тут же грохает экзешник. Приятный и достойный противник. Попытки что-то сделать дистанционно и в телефонном режиме ни к чеу не привели. Пациент был доставлен ко мне домой. Проблема была решена.
Метода - грузимся с ЛивСД (я использовал Infra CD, не новый диск но проверенный и не раз выручавший). На Инфре есть редактор удаленного реестра, позволяет подключить ветки реестра "пациента". Чудо-программа называется RegEdit PE.
Нас интересует
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
тут смотрим параметр - AppInit_DLLs. если есть строка с бредом в конце - типа ":FRfS5xF+XC"
нам повезло. Удаляем. Кроме того, не лишним будет почистить все темпы в профиле аользователя, предварительно оценив бредовость имен ДЛЛек. У меня была такая одна. Поиск по реестру привел к тому, что эта ДЛЛка была найдена в ветке реестра, отвечающей за исключения антивируса ТрендМайкро (этот антивирус в жизни не стоял на "пациенте")
Итак, почистив реестр, любым удобным способом копируем на пациента Антивирус Зайцева (AVZ). Перезвгружаемся, грузимся с жесткого диска. Запускаем AVZ, выбераем в менюшках - Файл -- Восстановление системы. Я выбрал все галки (пациенту уже хуже чем было не стало бы), жмем Выполнить отмеченные операции. Ждем. Перезагружаемся. Наблюдаем операционку, которой стало значитель легче дышать, при этом можно запустить дисп. задач, редактор реестра и то, что раньше не запускалось.