ЛЮДИ ПОМОГИТЕ — на форуме: Компьютеры, смартфоны, планшеты, игры, программы

Популярное сегодня

Страницы: (2) 1 2

zDenisker

Свободен

07-02-2009 - 21:42
Касперский обнаружил троян, я его удалил. Пропал рабочий стол (Весь, Только картинка осталась). Как я потом нарыл в нете оказалось что после удаления троян заблокировал exlorer.exe (загрузчик раб стола). УМОЛЯЮ ! ПОДСКАЖИТЕ что делать. Переустановил винду всё починилось и вновь касперский нашёл того же трояна и опять пропал раб стол.

p.s Капался в реестре. Ничего. Ставил прогу для восстановления explorer.exe
Ничего

ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!!!!

-=Велла=-

Свободна

07-02-2009 - 22:34
читай это http://www.sxn.today/index.php?showtopic=226954
выкладывай логи

Свободен

08-02-2009 - 15:03
А после логов будет описание волшебной команды expand.

Astral

Свободен

03-03-2009 - 02:06
слушайте, у меня такая же фигня с рабочим столом. Пишу щас с ноута. Пробовал загружать Безопасный режим, пробовал с последней удачной конфигурацией...НИЧЕГО НЕ ПОЛУЧАЕТСЯ....мёртво всё...чё делать не знаю....не могу даже в безопасном режиме зайти. Что можно ещё сделать, не хочу переустанавливать винду, очень много ценной инфы удалиться....

Это сообщение отредактировал Astral - 03-03-2009 - 02:07

ПЛУТ

Свободен

03-03-2009 - 09:34
ctrl-alt-del - Диспетчер задач - Новая задача - regedit
Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe
Перегружаемся.

Astral

Свободен

03-03-2009 - 13:20

QUOTE (ПЛУТ @ 03.03.2009 - время: 08:34)

ctrl-alt-del - Диспетчер задач - Новая задача - regedit
Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe
Перегружаемся.

Огромное спасибо, ты меня спас...ед. не нашёл у себя там iexplorer...а так вроде всё заработало!

ПЛУТ

Свободен

03-03-2009 - 15:15
Пользуйтесь нормальными браузерами и не будет таких проблем

Astral

Свободен

02-01-2010 - 23:52
короче опять такая же штука приключилась, только теперь regedit не помогает - в папке Image File Execution Options просто нет файлов explorer.exe и iexplorer.exe. У меня теперь другой комп, стоит Windows 7, схватил какую-то рекламу в нэте на весь эран, чтоб смс отправить, никак убрать не смог, перезагрузил комп - пропал рабочий стол. Точнее мышь есть, а рабочий стол чёрный. + к этому у меня 2 пользователя, на основном при нажатии alt+ctrl+del диспетчера задач нет!!! есть только если то же сделать через второго пользователя. В нэте начитался кучу всего, ничего не помогает, многие вещё не могу даже написать в "новой задачи" т.к. нет доступа из-за того, что сижу не за пользователя с правами... Не знаю чё делать... в той же "новой задачи" ввожу explorer.exe и всё работает, НО рабочего стола нет (((, так же работает опера...

помогите плиз, заранее спасибо!!!

Свободен

03-01-2010 - 00:03
туплю.

Выполните по ссылкам инструкции по AVZ и HijackThis и предоставьте результаты (логи)...

Это сообщение отредактировал JeyLo - 03-01-2010 - 00:06

Astral

Свободен

03-01-2010 - 00:24
по AVZ всё делал - ничего не помогает... щас попробую HijackThis...

Свободен

03-01-2010 - 00:25

QUOTE (Astral @ 02.01.2010 - время: 23:24)

по AVZ всё делал - ничего не помогает... щас попробую HijackThis...

Рано еще помогать. Там просто логи, шоб не гадать по фотографии. :)

Astral

Свободен

03-01-2010 - 01:04
HijackThis - ничего не изменилось, а по AVZ вопрос - откуда мне копировать в буфер обмена скрипт, который надо будет вставить после нажатия кнопки "выполнить скрипт"...?

И может я тупой... - мне надо логи предоставить тут, где мне их взять после выполнения "выполнить отмеченные скрипты"?

Свободен

03-01-2010 - 01:07
AVZ: пока логи "После окончания работы программы, будут созданы два файла в подпапке LOG"

HiJackThis нужен вот такой текст https://www.backbook.me/photo-e3fc16d6c3.html

Astral

Свободен

03-01-2010 - 01:12
есть такие файлы, только там нет текстового документа, может я не понимаю чего-то...

Astral

Свободен

03-01-2010 - 01:16
вот что в HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:13:48, on 03.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Opera\opera.exe
C:\Windows\explorer.exe
C:\Users\Mutter\avz4\avz.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\Mutter\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=21968
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Отправить через Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{274BBA1F-DCC5-459D-97E6-78C337D712C4}: NameServer = 192.168.100.22,192.168.100.3
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 4316 bytes

Свободен

03-01-2010 - 01:45
Fix:
F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe

Перезагрузитесь.

Astral

Свободен

03-01-2010 - 01:56
Что мне надо сделать? Я перезагрузился, всё так же... в эту папку зайти не могу, т.к. она в пользователе Beast, доступа к нему нет, т.к. я защитился )))

Свободен

03-01-2010 - 02:11
Пофиксили?

В Hijackthis галочкой отметить "REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe",потом нажать FIX, выйти и перезагрузится.

Это сообщение отредактировал JeyLo - 03-01-2010 - 02:12

Astral

Свободен

03-01-2010 - 02:16
да, не изменилось... (((

Свободен

03-01-2010 - 02:18
А кто сказал, что все изменится?
Опять лог делаем и выкладываем.

Astral

Свободен

03-01-2010 - 02:21
сделал, вот:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:20:37, on 03.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Opera\opera.exe
C:\Windows\explorer.exe
C:\Windows\system32\taskhost.exe
C:\Users\Mutter\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=21968
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Отправить через Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{274BBA1F-DCC5-459D-97E6-78C337D712C4}: NameServer = 192.168.100.22,192.168.100.3
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 4217 bytes

Свободен

03-01-2010 - 02:24
М-да.
Вот это вот:
"F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe"
Подменяет оболочку (shell, коим является explorer.exe) на себя.
Это надо чинить. В смысле FIX.

Делали?

Astral

Свободен

03-01-2010 - 02:26
да, поставил галочку и нажал fix Checked, потом перезагрузил...

я может не так что делал, просто иногда не понимаю некоторых выражений, но вроде всё по схемам...

Свободен

03-01-2010 - 02:27
Намана. Вирус плакал и сопротивлялся.

AVZ запускается?

Astral

Свободен

03-01-2010 - 02:31
да, я всё сделал до пункта

"Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл

Выбираем пункт "Выполнить скрипт"

.. и или вставляем скопированный в буфер обмена скрипт .."

я не понимаю откуда надо скопировать, чтоб вставить?

Свободен

03-01-2010 - 02:33
Куда торопимся? Внимательно читать нужно.

Еще один уточняющий вопрос: мы выполняем все эти действия от имени администратора или как?

Astral

Свободен

03-01-2010 - 02:34
вот именно, что нет ((( второй пользователь, от имени администратора, к сожалению нет диспетчера, он пропал (((

Свободен

03-01-2010 - 02:36
А правой кнопкой на исполняемом файле и "запустить от имени администратора" пункта нет?

Astral

Свободен

03-01-2010 - 02:39
есть, при нажатии:

"это программа заблокированна групповой политикой политикой и т.д."

Свободен

03-01-2010 - 02:44
Зачет.
Чистый диск CD-R (RW) есть? Писалка есть? Или флешка?

Astral

Свободен

03-01-2010 - 02:45
всё есть, что делать? )))

Свободен

03-01-2010 - 02:53
Чего-чего.. Лечится будем.
Значит так.
Если USB: http://www.hiren.info/pages/bootcd-on-usb-disk
Если CD: просто пишем образ на диск.
Образ, как обычно, Hirens Boot CD
Загружаемся с флешки или диска, идем в Browsers / File Managers, там есть Volkov Commander, включаем поддержку NTFS, идем на системный диск, открываем тот самый system.ini, стираем одну строку, сохраняем, идем и удаляем вышеупомянутый xxx_ ..exe

Свободен

03-01-2010 - 02:58
Хотя на дурака можно просто попробовать переименовать xxx_video ... и перезагрузится...

Astral

Свободен

03-01-2010 - 03:02
то, что для USB так же не открывает и не запускает ссылаясь на политику....

а переименовать где можно? я не смогу к нему прийти из-за опять же отсутствия доступа к правам администратора-пользователя (((

Свободен

03-01-2010 - 03:05
Кстати - таки безопасный режим загружается?

0 Пользователей читают эту тему

Страницы: (2) 1 2 ...

Наверх

ЛЮДИ ПОМОГИТЕ!