pupunА что есть в наличии?
Картинка помоему такая как у варианта, что в июне уже дважды делал. Там создаётся по пути
C:\Documents and Settings\All Users\Application Data\
файл что-то типа cc6c32.exe - точно уже не помню.
Но очень важный момент - эта бяка прописывается не только как Shell - надо в рееестре по пути:
| Код: |
| HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ |
у параметра
Shell вместо
| Код: |
| C:\Documents and Settings\All Users\Application Data\cc6c32.exe |
написать:
Но ещё подменяется userinit. То есть сам путь по адресу
| Код: |
| HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ |
у параметра
Userinit остаётся правильным:
| Код: |
| C:\WINDOWS\system32\userinit.exe, |
но вот сам файл userinit - левый. Примечательно то, что его размер при это не изменяется - совпадает.
Вот его надо восстановить с любой рабочей системы или с распаковать с установочного диска через консоль восстановления или если у тебя о пути
| Код: |
| C:\WINDOWS\system32\dllcache |
этот файл имеется - можно восстановить и оттуда.
Удачи!
P.S. первый раз я на него наткнулся 2 июня - отправил на вирустотал с описанием нюанса при заражении - ни одним не ловился. Отправил в несколько антивирусных компаний для анализа. 3 июня мне отписались, что добавлен в базы.
)
