Ю.В. Елисина, А.М. Губарь
4
Для просмотра и редактирования содержимого реестра нужно
скопировать файлы:
C:\Windows\System32\config\software;
ntuser.dat:
Для пользователей Windows XP файл ntuser.dat необходимо ко-
пировать
из
каталога
\Documents
and
Settings\_ВАШЕ_ИМЯ_ПОЛЬЗОВАТЕЛЯ_.
Для пользователей Windows Vista/Windows 7 файл ntuser.dat необхо-
димо копировать из каталога
\Users\_ВАШЕ_ИМЯ_ПОЛЬЗОВАТЕЛЯ_.
Для загрузки «куста» (файла, раздела) реестра и доступа к ре-
естру неактивной или не загружающейся системы можно использо-
вать стандартный редактор реестра (regedit.exe) на любой ОС
Windows. Для этого, запустив редактор, необходимо выбрать одну из
корневых веток: HKEY_LOCAL_MACHINE или HKEY_USERS, по-
сле чего в меню «Файл» станет активной опция «Загрузить
куст»/«Load hive».
2.1.
Анализ файла software
.
В файле software необходимо прове-
рить следующие ветви:
1.
Microsoft\Windows NT\CurrentVersion\Winlogon
:
• параметр
Shell
должен быть равен
Explorer.exe
. Если пере-
числены любые другие файлы, необходимо записать их названия и
полный путь к ним, затем удалить все лишнее и задать значение
Explorer.exe;
• параметр
userinit
должен быть равен
C:\Windows\system32\user
init.exe
, (именно так, с запятой на конце, где
C
— имя системного
диска). Если указаны файлы после запятой, то нужно записать их
названия и удалить все, что указано после первой запятой.
Возможны ситуации, когда присутствует схожая ветвь с названи-
ем
Microsoft\Windows NT\CurrentVersion\winlogon
. Если эта ветвь су-
ществует, ее необходимо удалить.
2.
Microsoft\Windows\CurrentVersion\Run.
Эта ветвь содержит
настройки объектов автозапуска.
Попав на компьютер, вирус должен в первую очередь где-либо
записать свои файлы, откуда он потом будет запускаться и действо-
вать. В основном вирусы размещают себя в следующих местах:
• в корневых папках дисков, чаще всего С:\;
• в профиле пользователей ПК (C:\Documents and Settings\ в Win-
dows XP и C:\Users\ в Windows Vista и Windows 7);
• во временных папках (C:\Windows\Temp, C:\Documents and Set-
tings\Temp, C:\Users\Temp);
• в папке операционной системы, как правило, C:\WINDOWS\, и
вложенных в нее папках (часто C:\WINDOWS\system\, C:\WINDOWS\
system32\, C:\WINDOWS\system32\drivers\, C:\WINDOWS\Temp).