NIKr0m@nceR
Posts: 203
|
Вопрос, конечно, идиотский, но...
Короче, после одной из чисток вирусни виндовый эксплорер перестал отображать рабочий стол и панель нижнюю с меню пуск и т.п.. прямой запуск эксплорера открывает папку "мои документы". тупое копирование эксплорера с другого компа ниче не даёт. че сделать? переустанавливать винду влом
|
|
11.02.2012 19:59 |
|
Flashback
Posts: 2001
|
Quote:запуск эксплорера открывает папку "мои документы"
Мб, все-таки проводник? Каким-то образом рабочий стол скрыт, ибо должен был появиться при такой манипуляции. Скачай какую-нить хрень для восстановления системы после заражения.
Любишь Героев? Читай "Вестник". Уже прочитал его? Читай теплый ламповый блог обо всем и играй в МутноИгры.
|
|
11.02.2012 20:29 |
|
NIKr0m@nceR
Posts: 203
|
ну да, проводник. я понимаю, ничего не помогло что скачивал
|
|
11.02.2012 20:41 |
|
gamecreator
Posts: 7107
|
|
12.02.2012 13:49 |
|
FallenAngel
Posts: 844
|
NIKr0m@nceR, заверши в диспетчере задач все подозрительное, а потом explorer.exe. Запусти через диспетчер браузер, скачай explorer и замени. Не перезагружая комп сразу запусти его. Мне когда-то помогало в похожей ситуации (скачанный экзешник explorer'а с другого компа тоже не прокатил). Потом даже не падал больше. Правда, переустановить ос в любом случае придется. Советую др веба сразу поставить. С ним уже такие случаи не повторялись.
|
|
12.02.2012 15:04 |
|
gamecreator
Posts: 7107
|
|
12.02.2012 15:36 |
|
Tent
Posts: 429
|
Помнится, я сестре подобную дрянь исправлял. Посмотри, что у тебя в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в значении ключа shell прописано. По умолчанию должно быть Explorer.exe без ничего, а у тебя, видимо, там прописан путь к вирусному exe (C:\Documents and Settings\%username%\Applacation Data и т.д.). Антивирус файлы вирусные удалил, а в реестре значения остались. Исправь на Explorer.exe, должно помочь.
p.s. интересно, успеет ли он прочесть это до сноса винды?)
(This post was last modified: 12.02.2012 16:23 by Tent.)
|
|
12.02.2012 16:07 |
|
gamecreator
Posts: 7107
|
|
12.02.2012 16:43 |
|
Дьякон
Posts: 395
|
Через диспетчер задач попробуй запустить explorer.exe (усли таковой есть) если нет, то попробуй regedit и посмотри HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\ Run
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon в Shell должен быть explorer.exe и ничего больше
Страус труп (с) Бьерн
|
|
12.02.2012 16:56 |
|
Flashback
Posts: 2001
|
Как же вы читаете? Он и explorer.exe запускал. И заменял его на другой, хотя, вроде, оригинальные системные файлы никак не подменить/удалить, ибо их копии где-то хранятся в защищенном месте и восстанавливаются из него, если что-то не так.
Любишь Героев? Читай "Вестник". Уже прочитал его? Читай теплый ламповый блог обо всем и играй в МутноИгры.
|
|
12.02.2012 19:09 |
|
Tent
Posts: 429
|
Flashback, пропиши в shell вместо explorer.exe любой путь, убей explorer и запусти его снова. У тебя откроется та папка, путь к которой ты прописал.
Я почти на 100% уверен, что у него в данном случае прописан путь к вирусному exe, который хранился либо где-то в application data, либо в local settings. Так как файла-вируса уже нет и полный путь к нему оказывается несуществующим, то открывается просто Documents and Settings\%username%.
Я так понимаю, у NIKr0m@nceRа было что-то типа порнобаннера, блокирующего вход в систему, потому что именно они меняют путь с explorer'а, запускающегося автоматически при входе в систему, на файл, который запускает баннер с требованием отправить смс.
|
|
12.02.2012 19:20 |
|
Flashback
Posts: 2001
|
Tent, ога, правда. Ну и хрень эта Винда. Ну какая-нить хрень для восстановления системы после заражения должна была ТСу помочь, а он написал "ничего не помогло что скачивал", мб, стоит уточнить что он скачивал.
Любишь Героев? Читай "Вестник". Уже прочитал его? Читай теплый ламповый блог обо всем и играй в МутноИгры.
|
|
12.02.2012 19:30 |
|
Tent
Posts: 429
|
Может он cuteit'ом всю дрянь удалил, а он [cureit] реестровые значения в исходное состояние не восстанавливает (во всяком случае, раньше этого не делал; умел только hosts восстанавливать, и то с запросом).
NIKr0m@nceR, если окажется, что дело действительно в этом злополучном ключе в реестре, то посмотри сразу там же в HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon параметр userinit: там должно быть только C:\WINDOWS\system32\userinit.exe, (при условии, что винда установлена на диск с в папку windows). Почти наверняка и там будет "левая" ерунда приписана. И, скорее всего, из автозагрузки нужно поудалять пути к вирусным файлам (впрочем, файлов, я так понял, уже нет) - это либо в HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\ Run как Дьякон написал, либо через спец.проги (всякие cleaner'ы - С,Reg и т.д.)
(This post was last modified: 12.02.2012 19:50 by Tent.)
|
|
12.02.2012 19:49 |
|
NIKr0m@nceR
Posts: 203
|
Всем спасибо большое.
во-первых, комп был не мой поэтому снести винду и не прочесть я бы вряд ли смог
во-вторых, стандартные ключи реестра shell и userinit я проверял, проблема была точно не в них ибо я нормальныый эксплорер честно врубал и получал то что получал
А проблему я решил вот таким занимательным способом: поставил альтернативную оболочку и откатил обратно эксплорер. IT WORKED! а через день, разобрав всё что в инете нарыл за это время таки нашёл сайт где куча параметров реестра описано, в частности ключ позволяющий отрубать рабочий стол. вероятно, он и был покорёжен
P.S. это был какоё-то вирус, пропущенный пока на каспере ключи были в блеклист и найденный и убитый позже. авторан чистится замечательной утилиткой autoruns. еще раз спасибо всем что откликнулись
|
|
13.02.2012 14:02 |
|