Короче говоря, программа, которая не должна была запускаться на этой машине, была создана, и она создала непослушный файл .sys, который загружается сразу после pci.sys (как определено NBTLog.txt)
Я просмотрел BCDEdit, EasyBCD и несколько ключей реестра, но я не могу определить, где winstart.exe фактически получает список файлов sys для загрузки!
Сам файл sys работает на высоком уровне и, похоже, отбивает все попытки его удалить; Я мог бы (возможно, должен) создать загрузочный USB-диск Linux и использовать его для удаления файла sys, но я бы очень признателен за понимание механизма здесь.
((FWIW: проблема возникла из-за того, что брат или сестра запустили трейнер для какой-то игры; он был наказан))
Я думаю, что COMMAND.COM - это то, что вы ищете.
Проверять, выписываться: http://www.computorcompanion.com/LPMArticle.asp?ID=73 и http://en.wikipedia.org/wiki/COMMAND.COM для хорошей начальной информации.
Самый надежный способ бороться с вредоносным ПО в Windows это к переустановить все. В крупномасштабных ИТ-развертываниях, в которых операционная система и приложения настраиваются и устанавливаются с использованием образа диска, попытки вручную «очистить» систему являются пустой тратой времени, особенно потому, что вы, вероятно, пропустите место, где находится вредоносное ПО. прячется.
Возможно, вы захотите создать известный чистый образ диска (а также регулярное резервное копирование данных), чтобы быстро восстановить его, если, несмотря на все меры предосторожности, что-то произойдет в будущем (не только из-за вредоносного ПО, но и из-за проблем с оборудованием, например жесткого диска отказов). Windows 7 включает встроенный инструмент резервного копирования, способный создавать образы на жестких дисках в формате NTFS.
Установите пароль для своей учетной записи, разрешите вашим детям использовать учетные записи с ограниченными правами («Стандартные») и убедитесь, что любое установленное программное обеспечение надежно и безопасно. Для вредоносных программ, которые не используют локальный эксплойт для повышения привилегий (в последнее время некоторые из них стали широко известны), заражение должно (теоретически) быть ограничено этой учетной записью пользователя.
Еще лучше, если возможно, ограничить работающее программное обеспечение тем, что находится в белом списке. Выпуски Windows 7 Enterprise и Ultimate включают AppLocker, преемник функции политики ограниченного использования программ, включенной в Windows XP Professional и Windows Vista Business.