Глюки после вирусной атаки

Обсуждение проблем с установкой и конфигурированием операционных систем.

Модератор: Gromak

Сообщение Bumerang » Пт авг 04, 2006 7:56 pm

Всем привет!
Помогите, кто сталкивался с проблемой: на компе авелся вирь (точнее, червь) W32.Rontokbro@mm, после продолжительной битвы он был побежден, однако после этого при каждом запуске стало выскакивать сообщение об ошибке типа: "Windows не удалось загрузить файл С:\windows\eksplorasi.exe".
Поиски места, откуда данный файл запускается привели к параметру реестра "Shell" в разделе:
"HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon". Там путь запуска и был прописан.
Я заменил эту хрень на строку "Explorer" "C:\windows\explorer.exe". Все встало на место, однако при запуске системы, сразу после загрузки стола сама по себе в формате "Проводник" открывается папка "Мои документы", что мне естественно, не нравится (червяк также открывал зараженные папки в режиме "Проводник":wink:.
Я вновь залез в указанную выше ветвь реестра и стер значение параметра "Shell".
После перезагрузки кроме фоновой картинки рабочего стола не загрузилось вообще ничего.
Восстановив значение реестра, все опять стало по-старому (т.е. с запуском папки "Мои документы":wink:.
Изменение параметра восстановления открытых перед выходом из системы папок при загрузке
также на возникшую проблему не влияет.
Кто знает, где прописываются загрузочные параметры Explorer.exe?
ЗЫ Также вручную были перебраны все параметры реестра, где встречается сочетание "Мои документы". Результат тот же.
Система XP SP2, антивирь - NAV'03
Во, блин, только что обнаружил - эта тварь еще и The Bat! вырубила:
письма с сервера грузятся, а в папках не появляются. Надо разбираться. :mad:
Аватара пользователя
Bumerang

 
Сообщения: 93
Зарегистрирован: Пт июн 07, 2002 12:31 am
Откуда: Россия, Урал
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение my_web » Сб авг 05, 2006 3:15 am

Я так и не понял, что и на ЧТО ты заменил...
Вот так запускается проводник:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
my_web

 

Сообщение my_web » Сб авг 05, 2006 8:22 am

2Aleg:
Проблема не в том, что открывается папка "Мои документы" , а в том, что вообще что-то открывается. Т.е. нормальная ситуация, это когда запускается проводник как оболочка (внизу панель с меню "Пуск", ярлыки рабочего стола, готов к запуску оконный интерфейс).

Bumerang, обрати внимание на мой пост еще раз! В разделе Winlogon должен быть строковый (REG_SZ) параметр "Shell" со значением "Explorer.exe". Нет параметра "Explorer" и нет никаких путей.

Ну а если ничего не получится исправить, тогда воспользуйся советом Aleg'а.
my_web

 

Сообщение Aleg » Сб авг 05, 2006 8:32 am

$this->bbcode_second_pass_quote('', '[')b]my_web
В разделе Winlogon должен быть строковый (REG_SZ) параметр "Shell" со значением "Explorer.exe".

Безусловно. Но не
$this->bbcode_second_pass_quote('', '[')b]Bumerang
"C:\windows\explorer.exe"

хотя разницы в этих записях с точки действия системы никакой. И это не должно приводить к автозапуску Моих документов. Где-то это действие еще прописано. Учитывая, что автостарт прописывается в известных местах, надо там и искать.

Исправлено: Aleg 5 августа 2006 года, 06:46
Аватара пользователя
Aleg

 
Сообщения: 3732
Зарегистрирован: Ср янв 08, 2003 8:36 am
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Сообщение Bumerang » Сб авг 05, 2006 11:21 am

Проводник запускается, однако автоматом запускается папка "Мои документы"
Аватара пользователя
Bumerang

 
Сообщения: 93
Зарегистрирован: Пт июн 07, 2002 12:31 am
Откуда: Россия, Урал
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Aleg » Сб авг 05, 2006 11:36 am

(3.1) При запуске Windows Explorer открывается папка My Documents. Как сделать так, что бы открывался корневой каталог системного диска?
В Propreties shortcut'а на Explorer, меняем target %SystemRoot%explorer.exe на %SystemRoot%explorer.scf. После этого, открываться будет не My Documents, а корневой каталог системного диска. Кроме этого, можно запускать Explorer комбинацией клавиш Win+E, в этом случае он откроется в разделе My Computer. Кроме этого, можно в свойствах ярлыка для Explorer прописать в Target:
%SystemRoot%\explorer.exe /e,c:\ (вместо c:\ можно указать любой другой путь).

WINFAQ
Аватара пользователя
Aleg

 
Сообщения: 3732
Зарегистрирован: Ср янв 08, 2003 8:36 am
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Сообщение 0xfff » Сб авг 05, 2006 8:14 pm

/*Я заменил эту хрень на строку "Explorer" "C:\windows\explorer.exe". */
Такой строкой ты запускаешь explorer с доп параметром командной строки для запуска самого себя без параметров. При этом вполлне понятно почему вылазит окно проводника.
В shell должно быть одно слово: "Explorer"
0xfff

 

Сообщение N-gage » Вс авг 06, 2006 1:03 am

Кто может подскажите? После атаки трояна перестала запускаться прога просмотра изображений и факсов, но это ещё пол беды. Самое плохое что в режиме " эскизы страниц" тоже ничего не видно.
N-gage

 
Сообщения: 117
Зарегистрирован: Вт июн 13, 2006 6:04 am
Откуда: Ташкент
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение he11song » Сб сен 30, 2006 3:01 pm

Народ у меня с этим тоже трабл. Только ко всему этому я не могу редактировать реестр. Пишет "Редактирование реестра запрещено администратором системы" Помогите плиз! А то уже надоело систему переустанавливать
he11song

 


Вернуться в Операционные системы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 22

cron