В своих заметках, я уже не раз рассказывал о том, как исправить блокировки компьютера (диспетчер задач, редактор реестра) посредством утилиты AVZ. Сегодня хочу немного приоткрыть тайну, как это сделать простым редактированием реестра.

Для начала требуется загрузиться с LiveCD, флешки с WinPE, подсоединить винчестер к другому компьютеру — в общем главное, не грузиться с него самого, т.к. смысла в этом никакого. Далее запускаете редактор реестра, подключаем к нему необходимую нам ветку HKEY_CURRENT_USER. Данной ветке реестра соответствует файл NTUSER.DAT в соответствующем каталоге пользователя.

Избавляемся от блокировки диспетчера задач
Изменяем значение параметра DisableTaskMgr в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] со значения 1 на 0, либо вообще удаляем данный параметр.

В паре с этим параметром в 99% случаях там же вы найдете параметр DisableRegistryTools, отключающий редактор реестра. Соответственно меняете его значение на 0 или удаляете.

С помощью редактора реестра можно отключить и автозапуск на дисках (мне например он только мешает). Для этого потребуется установить параметр NoDriveTypeAutoRun равным ff в следующей ветке реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

Перейдем ко второй части стаьи — вирусу Win32.Sector.21 в классификации Drweb ( BitDefender: Win32.Sality.3, NOD32: Win32/Sality.NBA virus, AVAST4: Win32:Sality ). Крови он мне попил много, никак не удавалось нормально избавиться. Симптомы такие: постоянно в корне диска, если разбин на несколько разделов, то в корне каждого раздела плодит кучу .pif и .exe, блокирует диспетчер задач и редактор реестра, заражает ВСЕ .exe, до которых успеет добраться. Причем DrWeb со свежими базами эту дрянь благополучно пропустил. Ещё один забавный момент — если вирус находит дистрибутив DrWeb, то тут же его удаляет.

В итоге помогла правка реестра в ручном режиме, указанным способом плюс мной нелюбимый NOD32. Этот просто похерил в результате лечения некоторые екзешники, благо не страшно. Да, не забудьте отключить восстановление системы в Windows инфицированной машины.

На сайте Касперского есть утилитка для убивания этого вируса SalityKiller, нашел уже после лечения, поэтому не пригодилась и про её эффективность ничего сказать не могу, ни плохого, ни хорошего. Пробуйте.

В заключении хочу дать ссылочку на очень хорошую статью — Если что-то отключено. Полагаю, будет интересно почитать.