ЛЮДИ ПОМОГИТЕ!
zDenisker
Интересующийся
2/7/2009, 11:42:43 PM
Касперский обнаружил троян, я его удалил. Пропал рабочий стол (Весь, Только картинка осталась). Как я потом нарыл в нете оказалось что после удаления троян заблокировал exlorer.exe (загрузчик раб стола). УМОЛЯЮ ! ПОДСКАЖИТЕ что делать. Переустановил винду всё починилось и вновь касперский нашёл того же трояна и опять пропал раб стол.
p.s Капался в реестре. Ничего. Ставил прогу для восстановления explorer.exe
Ничего ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!!!!
p.s Капался в реестре. Ничего. Ставил прогу для восстановления explorer.exe
Ничего ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!!!!
-=Велла=-
Акула пера
2/8/2009, 12:34:54 AM
читай это https://sxn.io/index.php?showtopic=226954
выкладывай логи
выкладывай логи
DELETED
Акула пера
2/8/2009, 5:03:43 PM
А после логов будет описание волшебной команды expand.
Astral
Мастер
3/3/2009, 4:06:59 AM
слушайте, у меня такая же фигня с рабочим столом. Пишу щас с ноута. Пробовал загружать Безопасный режим, пробовал с последней удачной конфигурацией...НИЧЕГО НЕ ПОЛУЧАЕТСЯ....мёртво всё...чё делать не знаю....не могу даже в безопасном режиме зайти. Что можно ещё сделать, не хочу переустанавливать винду, очень много ценной инфы удалиться....
ПЛУТ
Мастер
3/3/2009, 11:34:17 AM
ctrl-alt-del - Диспетчер задач - Новая задача - regedit
Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe
Перегружаемся.
Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe
Перегружаемся.
Astral
Мастер
3/3/2009, 3:20:21 PM
(ПЛУТ @ 03.03.2009 - время: 08:34) ctrl-alt-del - Диспетчер задач - Новая задача - regedit
Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe
Перегружаемся.
Огромное спасибо, ты меня спас...ед. не нашёл у себя там iexplorer...а так вроде всё заработало!
Ищем и УДАЛЯЕМ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe
Перегружаемся.
Огромное спасибо, ты меня спас...ед. не нашёл у себя там iexplorer...а так вроде всё заработало!
ПЛУТ
Мастер
3/3/2009, 5:15:00 PM
Пользуйтесь нормальными браузерами и не будет таких проблем
Astral
Мастер
1/3/2010, 1:52:41 AM
короче опять такая же штука приключилась, только теперь regedit не помогает - в папке Image File Execution Options просто нет файлов explorer.exe и iexplorer.exe. У меня теперь другой комп, стоит Windows 7, схватил какую-то рекламу в нэте на весь эран, чтоб смс отправить, никак убрать не смог, перезагрузил комп - пропал рабочий стол. Точнее мышь есть, а рабочий стол чёрный. + к этому у меня 2 пользователя, на основном при нажатии alt+ctrl+del диспетчера задач нет!!! есть только если то же сделать через второго пользователя. В нэте начитался кучу всего, ничего не помогает, многие вещё не могу даже написать в "новой задачи" т.к. нет доступа из-за того, что сижу не за пользователя с правами... Не знаю чё делать... в той же "новой задачи" ввожу explorer.exe и всё работает, НО рабочего стола нет (((, так же работает опера...
помогите плиз, заранее спасибо!!!
помогите плиз, заранее спасибо!!!
DELETED
Акула пера
1/3/2010, 2:03:56 AM
Astral
Мастер
1/3/2010, 2:24:11 AM
по AVZ всё делал - ничего не помогает... щас попробую HijackThis...
DELETED
Акула пера
1/3/2010, 2:25:40 AM
(Astral @ 02.01.2010 - время: 23:24) по AVZ всё делал - ничего не помогает... щас попробую HijackThis...
Рано еще помогать. Там просто логи, шоб не гадать по фотографии. :)
Рано еще помогать. Там просто логи, шоб не гадать по фотографии. :)
Astral
Мастер
1/3/2010, 3:04:26 AM
HijackThis - ничего не изменилось, а по AVZ вопрос - откуда мне копировать в буфер обмена скрипт, который надо будет вставить после нажатия кнопки "выполнить скрипт"...?
И может я тупой... - мне надо логи предоставить тут, где мне их взять после выполнения "выполнить отмеченные скрипты"?
И может я тупой... - мне надо логи предоставить тут, где мне их взять после выполнения "выполнить отмеченные скрипты"?
DELETED
Акула пера
1/3/2010, 3:07:39 AM
AVZ: пока логи "После окончания работы программы, будут созданы два файла в подпапке LOG"
HiJackThis нужен вот такой текст https://www.backbook.me/photo-e3fc16d6c3
HiJackThis нужен вот такой текст https://www.backbook.me/photo-e3fc16d6c3
Astral
Мастер
1/3/2010, 3:12:43 AM
есть такие файлы, только там нет текстового документа, может я не понимаю чего-то...
Astral
Мастер
1/3/2010, 3:16:01 AM
вот что в HiJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:13:48, on 03.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Opera\opera.exe
C:\Windows\explorer.exe
C:\Users\Mutter\avz4\avz.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\Mutter\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=21968
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Отправить через Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{274BBA1F-DCC5-459D-97E6-78C337D712C4}: NameServer = 192.168.100.22,192.168.100.3
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
--
End of file - 4316 bytes
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:13:48, on 03.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Opera\opera.exe
C:\Windows\explorer.exe
C:\Users\Mutter\avz4\avz.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\Mutter\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.yandex.ru/?clid=21968
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=21968
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Отправить на устройство Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Отправить через Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{274BBA1F-DCC5-459D-97E6-78C337D712C4}: NameServer = 192.168.100.22,192.168.100.3
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
--
End of file - 4316 bytes
DELETED
Акула пера
1/3/2010, 3:45:21 AM
Fix:
F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe
Перезагрузитесь.
F2 - REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe
Перезагрузитесь.
Astral
Мастер
1/3/2010, 3:56:03 AM
Что мне надо сделать? Я перезагрузился, всё так же... в эту папку зайти не могу, т.к. она в пользователе Beast, доступа к нему нет, т.к. я защитился )))
DELETED
Акула пера
1/3/2010, 4:11:24 AM
Пофиксили?
В Hijackthis галочкой отметить "REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe",потом нажать FIX, выйти и перезагрузится.
В Hijackthis галочкой отметить "REG:system.ini: Shell=C:\Users\Beast\AppData\Local\Opera\Opera\temporary_downloads\xxx_video_294549.avi.exe",потом нажать FIX, выйти и перезагрузится.
Astral
Мастер
1/3/2010, 4:16:17 AM
да, не изменилось... (((
DELETED
Акула пера
1/3/2010, 4:18:36 AM
А кто сказал, что все изменится?
Опять лог делаем и выкладываем.
Опять лог делаем и выкладываем.