Для устранения этой проблемы потребуется немного поковырять раздел реестра HKEY_LOCAL_MACHINE. Для этого запускаем утилиту regedit. Далее переходим по следующему пути:

Внимание!

Но не стоит пугаться, если Вы будете строго следовать моим указаниям, все будет в поряде. Я это уже 1000 раз делал ;).

Ну так продолжим. В разделе Parameters проверяем наличие параметра IRPStackSize. Если данный параметр имеется то его следует увеличить на значение по вашему усмотрению. Для Windows 2000 и выше значение параметра IRPStackSize не может превышать 50.

Если параметра IRPStackSize нет в наличии, то его необходимо создать. Тип параметра должен быть DWORD. Замечу, что имя параметра вводится с учетом регистра. После создания параметра, как говорят общедоступные источники интернета, данный параметр должен принять значение по умолчанию равное 15. Хотя у меня на практике принимал значение 0. (Но я юзал в основном эту тему по управлением ОС Windows XP и Vista). Так вот значение, присвоенное параметру по умолчанию, нужно увеличить на 3. Не отходя далеко от рекомендаций я присваивал значение 18 в десятичной системе счисления.

Выходим из редактор реестра и перезагружаем компьютер. После перезагрузки возникшая проблема ликвидируется.

Замечу:

Желаю удачи!
Пишите комментарии ;)

• некорректный путь к профилю,
• были удалены профили «default» или «Общие»(он же «Public») или нарушена их иерархия папок.

При этом может возникнуть проблема, что невозможно загрузить систему даже под локальным пользователем (администратором). Но в безопасном режиме система грузится.

В первой ситуации, для решения проблемы с загрузкой профилей, необходимо будет почистить и слегка отредактировать реестр «ручками» следующим образом. В реестре переходим сюда:

Просматривая этот раздел, ищем нужный нам профиль пользователя по ключам («ProfileImagePath»), указывающим путь к профилям. В просматриваемом списке правильный раздел имеет вид <идентификатор>.bak. Кроме того, присутствует точно такой же раздел, только с именем <идентификатор> (без «.bak»), в котором путь к профилю указан не верно.

Наши действия:

1. Удаляем раздел с ошибочным путем к профилю.
2. Переименовываем раздел с правильным путем к профилю, удалив из его имени окончание «.bak».
3. Попутно удаляем разделы, профили пользователей которые были удалены вами в ручную (разумеется, если такое имело место быть ;) ).

Далее перезагружаемся и пытаемся войти под пользователем, под которым ранее войти в систему не удавалось. Все должно сработать.

Во втором случае, проблема возникла, как показала практика, были либо удалены один из профилей «default» или «Общие», либо в этих профилях нарушена иерархия папок (попросту удалены все или часть вложенных папок).

Для решения данной проблемы достаточно создать папки с такими именами, если папки были удалены. Либо скопировать содержимое любого профиля и вставить в «default» или «Общие». После этого работоспособность системы восстанавливается.

Желаю удачи! ;)

Если у Вас есть чем дополнить данную статью, пишите пожалуйста комментарии к статье либо у нас на форуме.

Для этого понадобится либо установочный диск, либо Live CD/DVD, либо возможность подключения жесткого диска к другому компу. Рассматривать данный способ я буду на примере загрузочного диска, однако все описанные действия аналогичны и для Live CD/DVD или подключения к другому компу.

Приступим. Загружаемся с загрузочного (установочного) диска ОС Windows. Когда вам представится выбор действий, то нужно выбрать режим восстановления операционной системы с помощью консоли восстановления, нажатие кнопки «R». Далее выбираем раздел операционной системы – требуется ввести нужную цифру. Далее с вас спросят пароль. Если пароль при установке Windows вы не устанавливали, просто нажмите «Enter». После этого система восстановления переведет вас в папку Windows. Далее вам потребуются знания консольных команд ;).

С помощью команды cd переходим в папку repair:

В папке repair хранится «сырой» реестр(файлы: sam, system, software, default, security. Самыми важными файлами являются sam – в котором хранятся учетки пользователей, system – системный ключ для защиты файла sam, а так же настройки системы, software – содержит информацию об установленном ПО. Это тот самый реестр, который создался при установке операционной системы и он еще не знает ни об устройствах вашей системы, ни об установленных программах.

Действующий или «активный» реестр вашей системы лежит в Windows\system32\config. С помощью команды copy копируем необходимые файлы из папки repair в папку config:

Будет выведено сообщение что такой файл уже существует, заменить? Жмите «Y». Далее перезагружаем компьютер. В результате такой замены, может потребоваться замена еще пары файлов – не пугайтесь, просто проведите такую же манипуляцию с файлами.

Как только система соизволит загрузиться, начнется процесс установки драйверов (заново). Если этого не произойдет, придется системе помочь.

Если же вдруг при загрузке ОС выводится сообщение, что у вас битая какая то .dll-ка, то ее можно найти на загрузочном диске в папке «I386». При это расширение у искомой .dll-ки будет выглядеть как «.DL_». Если ваш CD-ROM под буквой D, то для того чтобы сменить диск надо написать:

После этого просто с помощью команды «copy» скопируйте в папку C:\Windows\system32 (возможно с заменой).

Описанные выше способы могут выручить вас в тот момент, когда нет возможности перенести данные с жесткого диска, на котором слетела ось, на другой диск или нет желания «опять» переустанавливать Windows.

• юзать платные программы по мониторингу подключаемых USB-носителей типа DeviceLock или FileControl или другие аналоги,
• с помощью стандартной возможности ОС Windows, установки прав доступа на файлы usb.inf и usbstor.inf, которые размещены в C:\Windows\inf.

Первый вариант я расматривать не буду, к ним есть достаточно подробный манул, да и не думаю что многие решат покупать данные программные продукты, ибо обойдутся они в копеечку.Но не могу не отметить простоту и удобство их в эксплуатации.
А теперь рассмотрим второй способ для организации нашей системы разграничения доступа к USB-носителям.
В первую очередь необходимо определиться кому запрещаем использование съемных носителей. В большинстве случаев необходимо ограничить права доступа всем пользователям, а разрешить доступ только системным администраторам. На этом пока и остановимся.
Так как мы определились с правами доступа, то пора их установить. Для этого найдем файлы usb.inf и usbstor.inf. Они лежат в системной папке inf в папке Windows. Далее выделяем их, заходим в свойства, в появившемся диалоговом окне переходим на вкладку безопаность. Кликаем на кнопку «Дополнительно». Убеждаемся, что галочка «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне» снята.

Если нет, то снимаем, в ответ на это появляется окошко с кнопками «Копировать», «Удалить», «Отмена». Жмем «Копировать», потом «Ок». Теперь на вкладке «Безопасность», в поле «Группы и пользователи» удаляем все, кроме (если там есть) группу администраторов. Если нет то жмем кнопку «Добавить». В поле «Введите имена выбираемых объектов» вводим администраторы, жмем «Проверить имена», если такой объект один, введенное вами слово станет подчеркнутым, иначе появиться окошко со списком, в котором нужно выбрать тот объект, который вас интересует. Далее жмем «Ок», потом снова «Ок». Устанавливаем галочку «Полный доступ», жмем «Ок».
На этом все. Теперь при подключении USB-носителей к ПК, обычному пользователю будут требоваться администраторские права.
Но, есть одно серьезное замечание:
Если ранее к ПК подключались USB-носители, то они будут доступны пользователю.
Чтобы устранить данную брешь в нашей системе разграничения доступа, придется ручками почистить реестр. Для этого запускаем regedit (Пуск->Выполнить->regedit->Enter). Переходим в раздел

и удаляем от туда все подразделы. Если не появляется сообщение, что подраздел удалить невозможно, то кликаем правой кнопкой мыши на раздел USBSTOR, выбираем «Разрешения…», устанавливаем для «Все» полный доступ и снова пытаемся удалить подразделы в разделе USBSTOR.

После того, как вышеописанное было осуществлено, для подключения любого USB-носителя потребуются права администратора.

Это мы рассмотрели базовую, так сказать, модель системы разграничяения доступа, но можно произвести более гибкую ее настройку, то есть разрашать доступ к подключаемым носителям конкретным пользователям. Для этого надо будет просто в свойствах файлов usb.inf и usbstor.inf на вкладке «Безопасность» добавить конкретного пользователя или какую то конкретную группу.

Замечу, что данная система разграничения будет работать и в домене, и в рабочей группе, а так же возможно установить разграничение доступа и для других устройств.

Данную статью можно обсудить на нашем форуме.

Так вот. Так как основную угрозу представляют именно троянские программы, то необходимо понимать принцип функционирования этого «гада». Для любой вредоносной программы важно, при каких событиях и каким образом они получат управление, то есть будут запущены или получат команду на выполнение вредоносной функции. Для трояна таковым событием является автозапуск. А точнее, для трояна важно, чтобы он запускался автоматически без участия пользователя. Так как большинство пользователей до сих пор эксплуатируют операционные системы семейства Windows 9x, то не будем исключать возможности автозапуска для этого семейства, а так же семейства Windows NT. Так вот такими местами для автозагрузки являются:

• командные файлы (Autoexec.bat, Winstart.bat).

Данные файлы наверняка до боли всем знакомы. Однако возможно не все знакомы с файлом Winstart.bat. Этот файл является недокументированным и используется системой аналогично файлу Autoexec.bat. Эксплуатируются в операцинных системах Windows 9x, за исключением Windows Me. Их месторасположение — системный каталог (Windows).

• конфигурационные файлы SYSTEM.INI и WIN.INI.

С помощью SYSTEM.INI в Windows 9x можно запустить только графическую оболочку — EXPLORER.EXE. Это можно увидеть в разделе [BOOT] параметр «shell». Однако файл (а точнее параметр) можно отредактировать так, чтобы запускалась какая-нибудь ваша программа, которая, в свою очередь, уже запускала графическую оболочку. WIN.INI используется в Windows 9x как аналог папки «Автозагрузка», где в разделе [windows] могут содержаться специальные параметры «load» и «run», в которых прописываются программы, предназначенные для автозагрузки.

Замечание:
Использование этих двух файлов уже давно многими подзабыто и поэтому на сегодняшний день они довольно актуальны для планов злоумышленика. Им стоит уделять особое внимание. Кроме того, мелкософт, приследуя цель сохранения совместимости, оставила их в составе системных файлов ОС Windows вплоть до Windows Vista и естественно сохранила возможность обработки этих файлов.

• подразделы реестра для автозагрузки приложений(Run, RunOnce, RunOnceEx, RunSevices, RunServicesOnce).

Распологаются они в следующих разделах:

Замечание:
Если в системе Windows 9x зарегистрирован только один пользователь, то разделы HKEY_USERS\.DEFAULT и HKEY_CURRENT_USER будут идентичны. Однако в Windows NT/XP они будут различаться.

При загрузке операционной системы первым обрабатывается раздел реестра HKEY_LOCAL_MACHINE. При этом отметим, что подразделы RunServices и RunServicesOnce, в отличае от Run и RunOnce обрабатываются еще до того, как пользователь войдет в систему. А подразделы с названиями *Once после обработки очищаются. Поэтому стоит обратить пристальное внимание на эти подразделы. Замечу, что, так сказать «по умолчанию», Windows XP подразделы RunServices и RunServicesOnce в реестре не создает.
Подраздел RunOnceEx отличается от Run и RunOnce тем, что параметры в этом подразделе напрямую не запускаются. Для этого для каждого приложения в этом разделе создается дополнительный подраздел, в котором указываются параметры и соответсвтующие пути(система обрабатывает этот раздел в алфавитном порядке).

После обработки HKEY_LOCAL_MACHINE начинает обрабатываться раздел HKEY_USERS\.DEFAULT, а далее после регистрации пользователя в системе система приступает к обработке раздела HKEY_CURRENT_USER. В этих разделах все подобно тому, что было описано об HKEY_LOCAL_MACHINE.

В операционных системах Windows Me/2000/XP появились новые разделы для автозагрузки программ:

Замечание:
Вся особенность в том, что параметры приложений, прописанные в этих разделах, должны иметь имена в виде порядковых номеров, начиная с единицы.

В операционных системах семейства Windows NT способы автозапуска программ в целом идентичны способам автозапуска в системах Windows 9x. Однако имеется ряд разделов в реестре, специфичных только для Windows NT:

Также в разделах

и

могут присутствовать параметры «Load» и «Run», в которые при установке Windows NT поверх Windows 9x переносится соответствующий список программ автозапуска из аналогичных параметров файла WIN.INI. Стоит внимательно просмотреть эти разделы.

Кроме того, в разделе

тоже имеются достаточно любопытные параметры, отвечающие за автозапуск различных приложений при входе пользователя в систему:
«Userinit» — определяет список программ, запускаемых процессом WinLogon в контексте пользователя при его регистрации в системе. По умолчанию это «USERINIT.EXE, NDDEAGNT.EXE» для Windows NT и «USERINIT.EXE» — для Windows 2000/XP.
«Shell» — задаёт оболочку (вернее — список программ, формирующих пользовательский интерфейс) Windows (по умолчанию — «TASKMAN, PROGMAN, WOWEXEC» для Windows NT и «EXPLORER.EXE» для Windows 2000, XP).
«System» — определяет список программ, запускаемых процессом WinLogon в контексте системы во время её инициализации. По умолчанию — «LSASS.EXE, SPOOLSS.EXE» для Windows NT, и пустая строка либо «LSASS.EXE» для Windows 2000/XP.
«VmApplet» — определяет список программ или программу, запускаемую процессом WinLogon для оперативной настройки параметров виртуальной памяти — по умолчанию его значение «rundll32 shell32, Control_RunDLL «sysdm.cpl»».

Особое внимание уделите разделу

где указываются DLL-файлы, которые должны будут запускаться при загрузке ОС, не отображаясь при этом в диспетчере задач. Но их можно найти в контексте процессов, используя возможность FAR, о котором речь пойдет чуть позже.

Помимо этого предусмотрена возможность автоматического запуска сторонних программ вместе с запуском командного процессора CMD.EXE — эти программы задаются в специальных разделах реестра:

• папка «Автозагрузка» в меню пуск.

После того, как пользователь был зарегистрирован в системе, система приступает к запуску программ, ярлыки к которым помещены в папку «Автозагрузка» меню Пуск. Замечу, что для текущего пользователя расположение этой папки на диске может быть изменено вручную в разделе реестра

в параметре «Startup». По умолчанию ярлыки автозапуска текущего пользователя располагаются в папке «WINDOWS\Главное меню\Программы\Автозагрузка» для Windows 9x  либо «Documents and Settings\’имя пользователя’\Главное меню\Программы\Автозагрузка» для Windows XP.
Кроме этой папки система обрабатывает папку для группы «All Users». В Windows XP это папка «Documents and Settings\All Users\Главное меню\Программы\Автозагрузка», а в Windows 9x — «WINDOWS\All Users\Главное меню\Программы\Автозагрузка». Путь к этой папке тоже может быть изменен в

.

Замечание:
Эти папки обрабатываются, даже если в системе зарегистрирован только один пользователь, а параметры «Startup» и «Common Startup» могут находиться и в других разделах реестра, поэтому стоит произвести поиск в реестре таких параметров и поглядеть что там.

• использование информационного файла Autorun.inf.

Данный способ за уши притягивается к теме автозагрузки, так как является информационным файлом для explorer’а(проводника) и применим только в том случае, если данный файл будет лежать в корне диска(жесткого, флешки и т.д.) и соответсвующим содержимым. На сегодняшний день этот способ стал очень популярным, судя по тому как выросла тенденция распространения троянов через флешки. Так как он достаточно прост и практически все пользователи используют explorer.
Заражение таким способом происходит, когда к компьютеру подключается съемное устройство, в корне которого лежит файл autorun.inf и вредоносная программа, на которую ссылается *.inf, и пользователь открывает его из «проводника» двойным щелчком мыши, либо из появивляющегося окошка «выбрать дейсвия ОС Windows». Признаки заражения таким способом можно определить так:
1) если в корне лежит autorun.inf c подобным содержимым

2) Наличие папки RECYCLER
3) при щелчке правой кнопки мыши на диске в появившемся контекстном меню наличие жирной строчки open(0) (может и не быть, то есть просто произошла подмена функции «открыть»).
При наличие хоть одного из этих признаков можно быть уверенным в заражении. При этом, если вирусу удалось запуститься (вы зашли на диск), то вирус необходимо удалить из процессов. Однако они могут быть запущены в контексте системных процессов. В таком случае прийдется ковырять реестр в разделах

и

которые были описаны выше.

И только после того, как враждебный процесс был завершен, можно смело зачистить в корне диска все левые файлы(они бросаются в глаза). Но чтобы их увидеть, необходимо настроить показ скрытых/системных файлов и папок. Это можно сделать в проводнике: меню сервис->свойства паки, там перейти на вкладку вид и в самом низу убрать галочку «скрывать системные файлы» и выбрать «показывать скрытые папки и файлы». Но прошаренные вирусы это дело просекли и контролируют эти галочки, постоянно их снимая. Так что вам придется пользоваться сторонними программами, к примеру TotalComander или FAR, либо командным интерпритатором с помощью команды «dir ‘буква диска’:\ /A». Правда TotalComander тоже нужно настроить, чтобы он показывал скрытые/системные файлы и папки: меню конфигурация -> настройки -> содержимое панелей и поставить галочку «показывать скрытые/системные файлы и папки».

Замечание:
Файловый менеджер очень удобен в этом вопросе. Он показывает абсолютно все файлы и папки и имеет замечательную функцию показывать список процессов с возможностью просмотреть список модулей, запущенных в его контексте. Причем также показывает достоточно подробную информацию о процессе.
Для этого запускаем FAR, жмем F11, выбираем в списке выбираем «список процессов» и получаем список процесов, выбираем интересующий нас процесс и, чтобы узнать подробную инфу, жмем F3.

Совет:
Отключайте в операционной системе возможность автозапуска. Это делается следующим образом:
«Пуск -> Выполнить -> gpedit.msc -> Политика «локальный компьютер» -> Конфигурация компьютера -> Административные шаблоны -> Система -> Отключить автозапуск».

Ну, в принципе, я рассмотрел все основные вопросы, связаные с поиском и удалением вируса руками. Возможно материал где-то неполный, где-то может я ошибаюсь, но весь материал основан на личном опыте и инфы найденной в интернете. По мере появления новой информации статья будет обновляется. Если есть какие вопросы или замечания, отписываем их на форуме. Буду очень признателен, если вы поможете написать более полную и подробную статью.
Спасибо за внимание. ;)

Рекомендуемые статьи для прочтения:
Безопасность: удаление вредоносных программ (отправка СМС и т.д.).

Алгоритм:

1. Запускаем regedit.
2. Переходим в пункт назначения: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows.
3. Находим параметр CSDVersion (если у Вас SP2, то параметр имеет значение 200, если SP1 — 100).
4. Для того чтобы SP2 стало SP3 необходимо установить значение этого параметра в 300.
5. Для вступления в силу наших изменений, необходимо перезагрузить компьютер.

После таких, несложных манипуляций ваш Service Pack 2 становиться на ранг выше.