zDenisker | |
|
Касперский обнаружил троян, я его удалил. Пропал рабочий стол (Весь, Только картинка осталась). Как я потом нарыл в нете оказалось что после удаления троян заблокировал exlorer.exe (загрузчик раб стола). УМОЛЯЮ ! ПОДСКАЖИТЕ что делать. Переустановил винду всё починилось и вновь касперский нашёл того же трояна и опять пропал раб стол. p.s Капался в реестре. Ничего. Ставил прогу для восстановления explorer.exe Ничего ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!!!! |
-=Велла=- | |
|
читай это http://www.sxn.today/index.php?showtopic=226954 выкладывай логи |
|
А после логов будет описание волшебной команды expand.
|
Astral | |
|
слушайте, у меня такая же фигня с рабочим столом. Пишу щас с ноута. Пробовал загружать Безопасный режим, пробовал с последней удачной конфигурацией...НИЧЕГО НЕ ПОЛУЧАЕТСЯ....мёртво всё...чё делать не знаю....не могу даже в безопасном режиме зайти. Что можно ещё сделать, не хочу переустанавливать винду, очень много ценной инфы удалиться.... Это сообщение отредактировал Astral - 03-03-2009 - 02:07 |
ПЛУТ | |
|
ctrl-alt-del - Диспетчер задач - Новая задача - regedit Ищем и УДАЛЯЕМ: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe Перегружаемся. |
Astral | |||
|
Огромное спасибо, ты меня спас...ед. не нашёл у себя там iexplorer...а так вроде всё заработало! |
ПЛУТ | |
|
Пользуйтесь нормальными браузерами и не будет таких проблем
|
Astral | |
|
короче опять такая же штука приключилась, только теперь regedit не помогает - в папке Image File Execution Options просто нет файлов explorer.exe и iexplorer.exe. У меня теперь другой комп, стоит Windows 7, схватил какую-то рекламу в нэте на весь эран, чтоб смс отправить, никак убрать не смог, перезагрузил комп - пропал рабочий стол. Точнее мышь есть, а рабочий стол чёрный. + к этому у меня 2 пользователя, на основном при нажатии alt+ctrl+del диспетчера задач нет!!! есть только если то же сделать через второго пользователя. В нэте начитался кучу всего, ничего не помогает, многие вещё не могу даже написать в "новой задачи" т.к. нет доступа из-за того, что сижу не за пользователя с правами... Не знаю чё делать... в той же "новой задачи" ввожу explorer.exe и всё работает, НО рабочего стола нет (((, так же работает опера... помогите плиз, заранее спасибо!!! |
|
туплю. Выполните по ссылкам инструкции по AVZ и HijackThis и предоставьте результаты (логи)... Это сообщение отредактировал JeyLo - 03-01-2010 - 00:06 |
Astral | |
|
по AVZ всё делал - ничего не помогает... щас попробую HijackThis...
|
|
Рано еще помогать. Там просто логи, шоб не гадать по фотографии. :) |
Astral | |
|
HijackThis - ничего не изменилось, а по AVZ вопрос - откуда мне копировать в буфер обмена скрипт, который надо будет вставить после нажатия кнопки "выполнить скрипт"...? И может я тупой... - мне надо логи предоставить тут, где мне их взять после выполнения "выполнить отмеченные скрипты"? |
|
AVZ: пока логи "После окончания работы программы, будут созданы два файла в подпапке LOG" HiJackThis нужен вот такой текст https://www.backbook.me/photo-e3fc16d6c3.html |
Astral | |
|
есть такие файлы, только там нет текстового документа, может я не понимаю чего-то...
|
Astral | |
|
вот что в HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 0:13:48, on 03.01.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskhost.exe C:\Windows\system32\taskmgr.exe C:\Program Files\Opera\opera.exe C:\Windows\explorer.exe C:\Users\Mutter\avz4\avz.exe C:\Windows\System32\rundll32.exe C:\Program Files\WinRAR\WinRAR.exe C:\Users\Mutter\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=21968 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yandex.ru/?clid=21968 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=21968 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Отправить через Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{274BBA1F-DCC5-459D-97E6-78C337D712C4}: NameServer = 192.168.100.22,192.168.100.3 O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- End of file - 4316 bytes |
|
Fix: F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe Перезагрузитесь. |
Astral | |
|
Что мне надо сделать? Я перезагрузился, всё так же... в эту папку зайти не могу, т.к. она в пользователе Beast, доступа к нему нет, т.к. я защитился )))
|
|
Пофиксили? В Hijackthis галочкой отметить "REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe",потом нажать FIX, выйти и перезагрузится. Это сообщение отредактировал JeyLo - 03-01-2010 - 02:12 |
Astral | |
|
да, не изменилось... (((
|
|
А кто сказал, что все изменится? Опять лог делаем и выкладываем. |
Astral | |
|
сделал, вот: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 1:20:37, on 03.01.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\taskhost.exe C:\Windows\system32\Dwm.exe C:\Program Files\Opera\opera.exe C:\Windows\explorer.exe C:\Windows\system32\taskhost.exe C:\Users\Mutter\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=21968 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yandex.ru/?clid=21968 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=21968 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Отправить через Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{274BBA1F-DCC5-459D-97E6-78C337D712C4}: NameServer = 192.168.100.22,192.168.100.3 O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- End of file - 4217 bytes |
|
М-да. Вот это вот: "F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe" Подменяет оболочку (shell, коим является explorer.exe) на себя. Это надо чинить. В смысле FIX. Делали? |
Astral | |
|
да, поставил галочку и нажал fix Checked, потом перезагрузил... я может не так что делал, просто иногда не понимаю некоторых выражений, но вроде всё по схемам... |
|
Намана. Вирус плакал и сопротивлялся. AVZ запускается? |
Astral | |
|
да, я всё сделал до пункта "Для выполнения скриптов, которые Вам будут помогать в борьбе с вирусами из меню Файл Выбираем пункт "Выполнить скрипт" .. и или вставляем скопированный в буфер обмена скрипт .." я не понимаю откуда надо скопировать, чтоб вставить? |
Рекомендуем почитать также топики: Файловые менеджеры random-wot.ru Самая НЕнужная функция в телефоне Срочно нужна помощь! Меняю |