Сделано в СССР, напиши какая у тебя винда. Можешь ли ты загрузится в отладочные режимы (безопасный, режим отладки) и оттуда получить доступ к реестру.
Если есть возможность проверь файл win.ini,system.ini.
Умеешь ли ты работать с реестром ручками?
Добавлено:
Сделано в СССР. Кое что нашел по твоему "другу".У Каспера на сайте, в его энциклопедии лежит следующее:
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry
Добавлено:
А теперь подскажу как можно добраться до реестра:
...Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
Исправь следующее:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="0"
"DisableCMD"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="0"
Не знаешь как пиши подскажу! Только обязательно укажи версию винды.