SpyWare и AdWare модулей - это основное назначение утилиты
Dialer (Trojan.Dialer)
Троянских программ
BackDoor модулей
Сетевых и почтовых червей
TrojanSpy, TrojanDownloader, TrojanDropper
Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.
Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.
Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.
Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.
Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.
Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;
Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы
Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75
Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.
Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.
Система AVZGuard. Предназначена для борьбы с трудноудалимыми вредоносными програмами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.
Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.
Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.
Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.
В списке контактов ICQ появилась группа General и в ней контакт 12111
21.06.2008 Появление контакта 12111 в группе General клиентов ICQ (ник у данной учетной записи "ICQ System") происходит по инициативе администрации ICQ и не представляет угрозы для компьютера (информация по этому поводу размещена на главной странице справочной системы http://www.icq.com/help/). Публикуемые на различных новостных сайтах и форумах байки о том, что это является следствием заражения компьютеров пользователей неким неизвестным вирусом/трояном или результатом взлома ICQ клиента на компьютере пользователя не соответствуют действительности.
Важно отметить, что злоумышленники уже начали эксплуатировать связанное с появлением данного контакта беспокойство пользователей, и в Интернет замечено появление "патчей" и "антивирусов", якобы для борьбы с данным "вирусом" и защиты от него. На самом деле под видом подобных "патчей" распространяются троянские программы. Например, 20.06 замечено распространение новой разновидности Trojan-PSW.Win32.LdPinch под видом подобного "патча".
Заблокирован диспетчер задач
15.01.2007
Многие вредоносные программы применяют блокировку диспетчера задач в качестве меры самозащиты. В этом случае при нажатии Ctrl + Alt + Del вместо диспетчера задач отображается сообщение о том, что диспетчер задач отключен администратором.
Для восстановления работоспособности диспетчера задач необходимо выполнить "Файл/Восстановление системы", там отметить пункт 11 "Разблокировка диспетчера задач", после чего следует нажать кнопку "Выполнить отмеченные операции".
На заметку: Разблокировка диспетчера задач устранит последствие работы вредоносной программы, но не саму вредоносную программу. Поэтому в любом случае стоит произвести исследование ПК с целью поиска вредоносной программы, выполнившей блокировку диспетчера задач.
После лечения вируса пропали все принтеры
07.12.2006
Одной из причин может являться подмена системного файла sfc_os.dll
(файл размещается в папке System32) файлом троянской программы. Размер
системного файла sfc_os.dll составляет примерно 140 кб, и в его
копирайтах записано назначение файла – «Защита файлов Windows». В
отличие от системной троянская DLL имеет небольшой размер – порядка
19-20 кб.
Методики восстановления:
1. Следует убедиться в том, что троянский файл System32\sfc_os.dll
удален;
2. Следует поискать sfc_os.dll в скрытой папке Windows\DllCache – если
там найдется такой файл, то достаточно скопировать его в
Windows\System32 и перезагрузиться;
3. Если файл sfc_os.dll отсутствует в Windows\DllCache, то необходимо
восстановить его из дистрибутива. Для этого следует перейти в папку I386
дистрибутива и выполнить команду:
expand SFC_OS.DL_ %windir%\System32\SFC_OS.DLL
После выполнения команды следует перезагрузить компьютер. Восстановление
файла из дистрибутива является наиболее надежным и правильным методом.
В принципе перезагрузка необязательна – для устранения проблемы
достаточно перезапустить службу «Диспетчер очереди печати».
Симптомы:
В
папке «Принтеры и факсы» не отображается ни один принтер Попытка
установки нового принтера выводится сообщение «Невозможно завершение
операции. Подсистема печати недоступна»
Периодически выводятся системные окна с рекламой или
посторонними сообщениями
12.05.2006
Периодически при активном соединении с Интернет или локальной
сетью выводятся системные окна с сообщениями о том, что на компьютере
якобы обнаружены вирусы, шпионское ПО, повреждения реестра и диска и
т.п. Общая особенность окон - это явно системные окна с заголовком
"Служба сообщений". Это распространенное явление - спам через службу
сообщений.
Окна имеют примерно такой вид:
или
В сообщениях обычно предлагается посетить некий сайт и скачать
некоторую программу для "лечения" компьютера. Делать этого ни в коем
случае не следует !!
Методики противодействия:
1. Самым грамотным решением проблемы является установка Firewall.
Дело в том, что Firewall защитит компьютер не только от спама через
службу сообщений, но и от атак вирусов и хакеров. Для начала достаточно
защитить соединение с Интернет при поомощи штатного брандмауэра Windows
XP
2. Отключить службу сообщений. Для этого необходимо зайти в консоль
управления службами (кнопка "Пуск", "Панель управления", там зайти в
группу "Администрирование" и открыть "Службы". Далее в списке служб
найти службу сообщений (он так и называется - "Служба сообщений" в
русскоязычной XP и "Messanger" в англоязычной) и открыть ее свойства
(двойным кликом или через меню "Действие/Свойства". В окне свойств
следует нажать кнопку "Стоп" для остановки службы, затем выбрать типа
запуска "Отключено" и нажать "ОК".
Симптомы:
Выводятся
системные окна с посторонней информацией, заголовок окон "Служба
сообщений"
После лечения вируса исчез рабочий стол
13.04.2006
На компьютере при помощи антивируса или вручную был удален
вредоносный объект (часто это файл csrss.exe в папке Windows, одна из
разновидностей Pinch). После перезагрузки не отображается рабочий стол и
работа с компьютером блокируется.
Причина:
На настоящий момент известно две основные причины
1. Вредоносная программ регистрируется как отладчик процесса
explorer.exe и ее удаление приводит к блокировке запуска explorer.exe,
что делает дальнейшую работу на компьютере невозможной (следствие
невозможности запуска explorer.exe - нет рабочего стола, иконок на нем и
т.п.). В данной ситуации explorer.exe невозможно запустить
вручную
2. Вредоносная программа модифицирует ключ реестра, отвечающий за запуск
explorer.exe. Удаление вредоносной программы без восстановления данного
ключа привидит к тому, что система загружается, но не запускается
explorer.exe. В данной ситуации explorer.exe можно запустить вручную
Лечение:
1. Скачать AVZ и обязательно обновить его базы
2. Загрузить пораженный компьютер, и нажать CRTL+ALT+DEL. В появившемся
диспетчере задач нажать кнопку "Новая задача", и в открывшемся окне
выбора файла выбрать avz.exe.
3. В AVZ меню "Файл/Восстановление системы". Пометить позиции "9.
Удаление отладчиков системных процессов" и "16. Восстановление ключа
запуска Explorer", после чего нажать "Выполнить отмеченные операции".
4. Перезагрузиться
Симптомы:
После
уделения вредоносного объекта после перезагрузки отображается пустой
рабочий стол, нет кнопки "Пуск" и панели задач Запуск процесса
explorer.exe вручную невозможен
Неубиваемый файл nail.exe
07.04.2006
Вручную или при помощи антивируса/антишпиона обнаруживается файл
nail.exe на диске и соответственно процесс в памяти. Процесс удается
остановить, файл успешно удаляется, но через некоторое время появляется
снова. Этот файл принадлежит к AdvWare.BetterInternet, размещается в
папке Windows, размер около 70 кб. Причина проблем с удалением связана с
оригинальной защитой этого nail.exe от удаления, которая основана на
создании троянских потоков в одном из системных процессов. Этот поток
периодически проверяет, существует ли nail.exe на диске. Если не
существует, то он пересоздается (образ файла nail.exe хранится троянским
потоком в памяти). В результате с точки зрения антивирусной программы
удаление проходит успешно, но через небольшое время производится
восстановление файла.
Методики лечения: Методика 1 1.
Закрыть все приложения, запустить AVZ и активировать AVZGuard. 2.
При помощи диспетчера процессов AVZ остановить процесс nail.exe 3.
При помощи отложенного удаления удалить nail.exe с диска 4.
Перезагрузиться, не отключая AVZGuard. Данный метод основан на том,
что AVZGuard блокирует восстановление и перезапуск nail.exe, что
позволяет успешно завершить лечение
Методика 2 Загрузиться с загрузочного CD диска или
подключить HDD к чистому компьютеру и удалить nail.exe вручную или при
помощи антивируса. Данный метод основан на том, что в данном случае
троянские потоки естественно будут отсутствовать и восстановление файла
после удаления не произойдет.
Симптомы:
На
диске существует компонент AdvWare.BetterInternet с именем nail.exe,
который появляется после удаления
Периодически выводятся окна с рекламной информацией
Что делать, если во время работы на ПК периодически выводятся
окна с рекламной информацией ?
В такой ситуации необходимо установить, какая из запущенных программ
выводит данные окна. Это удобно сделать при помощи программы ProcessExplorer
(www.sysinternals.com) –
необходимо перетащить значок с изображением прицела из панели управления
ProcessExplorer на окно неопознанной программы - ProcessExplorer
определит, какой программе принадлежит данное окно.
Если обнаружится, что окно принадлежит InternetExplorer, то необходимо
проанализировать загруженные им библиотеки и модули расширения (BHO) при помощи AVZ. Кроме того, ProcessExplorer показывает процессы в виде древовидного
списка – стоит обратить внимание на то, какой процесс является
родительским для «подозреваемого».
После определения "подозреваемого" процесса или модуля необходимо
проверить его по базе безопасных AVZ (Меню "Сервис /
Проверить файл по базе безопасных файлов" и "Сервис / Проверить
подлинность файла по базе Microsoft"). Если одна из этих проверок
подтведит безопасность файла, то с него можно снять подозрения, если нет
- то это один из кандидатов для анализа.
Симптомы:
выводятся
окна с рекламной информацией
Изменение стартовой страницы браузера
Для начала необходимо разобраться, является ли изменение
однократным. Для этого необходимо восстановить стартовую страницу
вручную из настроек браузера или при помощи восстановления системы AVZ
(меню "Файл / Восстановление системы"). Если это поможет и
после перезапуска бразуера и перезагрузки компьютера стартовая страница
не изменится, то проблему можно счиатать решенной. Причиной
самопроизвольной модификации стартовой страницы в данном случае может
являться вредоносный скрипт на одной из просматриваемых страниц или
"хулиганское поведение" инсталлятора одной из недавно установленных
программ.
Если восстановление настроек не помогает, то это означает, что на
компьютере имеется некая вредоносная программа, выполняющая модификацию
стартовой страницы. Дело в том, что настройки Internet
Explorer хранятся в реестре и изменить их очень просто. Для
обнаружения изменяющего страницу «вредителя» удобно применить утилиту RegMon. Предположим, что стартовая страница
изменяется на адрес X. Тогда после запуска утилиты RegMon необходимо
настроить ее фильтр, указав в качестве образца адрес X
или его фрагмент. Затем остается только восстановить стартовую страницу
и дождаться ее изменения – далее по протоколу RegMonможно установить, какой процесс выполнил данную
операцию. Если процессом является браузер, то необходимо
проанализировать его модули расширения. Если посторонний процесс - то
собственно он и является "вредителем"
Симптомы:
Стартовая
страница Internet Explorer периодически изменяется на некую страницу X
Изменяются настройки Internet Explorer
Чаще всего изменяется страница поиска или префиксы протоколов,
замена стартовой страницы может рассматриваться как частный случай этой
ситуации.
Для восстановления настроек можно применить кнопку «Сброс параметров»
на закладке «Свойства программы» в окне «Свойства обозревателя» или
использовать восстановление системы в AVZ. В
обоих случаях это приведет к сбросу все настроек на значения по
умолчанию. Если это не поможет, и настройки вновь самопроизвольно
изменятся, то необходимо искать вредоносный процесс, выполняющий данные
операции.
Методика обнаружения ответственного за это вредоносного процесса
аналогична случаю с подменой стартовой страницы и ведется при помощи
утилиты RegMon, в фильтре RegMonв поле Includeрекомендуется задать образец «Microsoft\Internet
Explorer» и оставить включенной опции «LogWrites» и «LogSuccesses».
В результате будут фиксироваться все изменения настроек с указанием,
какая программа производит изменение.
Симптомы:
Изменяется
страница поиска IE Изменяется стартовая страница Модифицируются
префиксы протоколов Изменяется список URL в "Избранное"
Изменились обои и настройки рабочего стола
Подобная ситуация все чаще регистрируется и связана с
оригинальной методикой демонстрации рекламы – вместо отображения
рекламной информации в отдельных окнах современные троянские программы
внедряют ее в рабочий стол. В ряде случаев можно восстановить настройки
вручную, однако некоторые троянских программы блокирую вызов меню
настройки при помощи параметров в ключе реестра
Software\Microsoft\Windows\CurrentVersion\Policies.
Методика восстановления:
Необходимо выяснить, доступно ли меню настройки рабочего стола. Если
доступно, то следует попробовать восстановить настроки.
Если меню недоступно, то следует разблокировать его при помощи
сервиса "Восстановление системы” AVZ.
Если разблокировка не производится или (и) после восстановления
настроек они опять модифицируются, то необходимо искать производящее
данное действие вредоносное приложение;
Выполнение восстановления необходимо производить именно в описанном
порядке - часто вредоносное приложение меняет обои рабочего стола,
блокирует меню конфигурирования рабочего стола и самоуничтожается. Как
следствие, поиск "зловреда" в данном случае бесполезен.
Симптомы:
Изменение
обоев рабочего стола Изменение настроек рабочего стола Блокировка
меню настроек рабочего стола
Нарушилось обновление антивирусных программ
Что делать, если нарушилось обновление антивирусных программ ?
В такой ситуации рекомендуется:
проверить содержимое файла HOSTS,
возможно, в нем появились дополнительные записи. Если это так, то
необходимо удалить из HOSTS посторонние записи;
Отследить модифицирующий файл hostsпроцесс достаточно легко при помощи утилиты FileMon
Восстановить файл HOSTS проще всего вручную – в нем должна быть
единственная строка вида «127.0.0.1localhost». Для
редактирования файла Hostsможно
воспользоваться программами HiJackFreeили HijackThis
Симптомы:
Нарушилось
обновление антивирусных программ Блокирован доступ к некоторым
сайтам При обращении к сайту X вместо него открывается некий сайт Y
В трее размещена иконка, при нажатии на которую
выводится собщение о заражении Spyware
Размещение в трее посторонних значков в виде восклицательного
знака или красного креста с периодическим выводом сообщений о заражении
ПК типично для программ семейства Hoax (обычно выводятся сообщения под
заголовком "Your computer is infected").
Пример подобной иконки и сообщения показан на рисунке:
Методики противодействия:
Обратите внимание на описание типичных Hoax
программ в разделе "Описания
вирусов" - быть может, одна из описанных программ похожа по
поведению на Ваш случай, тогда описание и методики удаления будут
полезны для дальнейшего решения проблемы;
Необходимо выяснить, какое приложение ответственно за
установку значка в трее. Это можно сделать при помощи диспетчера
автозапуска и менеджера процессов AVZ;
Не следует соглашаться с предолжением установить
постороннее ПО !
Симптомы:
Посторонние
иконки в трее Выводятся предупреждений о заражении ПК SpyWare с
предложением скачать антишпионскую программу
Изменение префикса протоколов в IE
При вводе любого URL происходит открытите постороннего
сайта, обычно открываемый URL имеет вид http://[посторонний
сайт]/параметры&параметр=[введенный URL]. Достигается это как
правило за счет установки в реестре так называемого префикса протокола -
т.е. префикса, который автоматически дописывается к введенному URL.
Настройки префиксов протоколов хранятся в ключе реестра
Software\Microsoft\Windows\CurrentVersion\URL\Prefixes, типовыми
префиксами являются ftp:// и http://. IE исползует эти данные в случае
ввода URL без явного указания префикса протокола, т.е. например при
вводе URL http://www.yandex.ru
префикс не требуется, а при вводе www.yandex.ru произойдет подстановка
префикса по умолчанию (в данном случае подставится префикс http://
Восстановление: Для восстановления
префиксов может применяться два метода.
1. Автоматический. В AVZ необходимо запустить восстановление системы
(Файл / Восстановление системы), отметить пункт "Сброс настроек
префиксов протоколов Internet Explorer на стандарные" и выполнить
восстановление
2. Ручной. При помощи редактора реестра необходимо изучить параметры,
содержащиеся в ключе
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
На заметку: Восстановление префиксов
бесполезно, если в системе имеется троянская программа класса Hijacker,
которая периодически подменяет префиксы протоколов - в данном случае
восстановление помжет на небольшое время.
Симптомы:
При
открытии любой страницы открывается URL типа http://посторонний
сайт/параметры&site=[введенный URL]
Нарушена загрузка в защищенном режиме (SafeBoot)
Одной из причин нарушения загрузки системы в защищенном режиме может
быть удаление ключа реестра
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot с настройками загрузки в
защищенном режиме. Данный ключ повреждается некоторыми вредоносными
программами, в частности - червем Bagle.
Восстановление ключа реестра SafeBoot вручную
С технической точки зрения ключ SafeBoot содержит два подключа - Minimal
и Network. Восстановить повреждение можно двумя путями: при помощи
резервной копии или про помощи REG файла, в который были экспортированы
данные ключи с ПК, содержащего аналогичную версию Windows. Второй
вариант не совсем корректный, но при отсуствии резервной копии может
помочь. В частности, вот REG файл для XP SP2
Кроме того, есть еще один метод восстановления испорченных ключей. Как
известно, в самом реестре есть копии ключа SafeBoot. Они находятся в
HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и
HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно
попробовать следующую операцию:
1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
2. В полученном REG файле заменить "CurrentControlSet001" на
"CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
3. Импортировать модифицированный файл
Данная операция может быть успешной сразу после запуска повреждающей
ключ реестра вредоносной программы, до перезагрузки.
Автоматическое восстановление ключа реестра SafeBoot
Для автоматического восстановления в базы AVZ начиная с
23.2006 введена микропрограмма, производящее восстановление удаленных
ключей реестра. Она называется "Восстановление настроек загрузки в
SafeMode" и может быть запущена через "Файл/восстановление системы".
Набор восстанавливаемых ключей определяется автоматически,
поддерживаются W2K, XP, W2K3.
Симптомы:
Компьютер
не загружается в защищенном режиме
В комплекте с утилитой AVZ идет скрипт по лечению повреждений нанесенных вирусом winfile.jpg