| Другое > Hard'n'Soft |
| Последствия вируса |
| (1/5) > >> |
| Kинаман:
В общем, был у меня на компе вирус fun.xls.exe, о нём многие наслышаны и инфы по нему в инете - масса. Одним из свойств данного вируса было игнорирование включения режима отображения скрытых файлов и папок - галочка всё равно переходила на пункт "Не показывать". Вирус я успешно убил 7-м Касперским, но срытые файлы и папки до сих не отображаются. Я нашёл некоторую инфу в инете по этому вопросу, говорят, что это нужно копаться в реестре, но слишком всё не понятно описано, в общем инфа не помогла. Подскажите, как ликвидировать последствия этого вируса? |
| BmpCorp:
Вроде бы, чтобы увидеть скрытые файлы и папки, надо проделать следующее: 1.В реестре ищем ключ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\CheckedValue и удаляем его. 2.Ищем ключ HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced\ShowSuperHidden и меняем его значение на 1. 3.Снова создаём удалённый нами вначале ключ. Тип DWORD, значение 1. 4.Перезагружаемся... Должно работать, сам не проверял... |
| Kинаман:
--- Цитата: BmpCorp от 11 Февраль 2008, 18:53:29 ---3.Снова создаём удалённый нами вначале ключ. Тип DWORD, значение 1. --- Конец цитаты --- Вот этого пункта я вообще не пойму |
| BmpCorp:
--- Цитата: Kинаман ---Вот этого пункта я вообще не пойму --- Конец цитаты --- Постараюсь объяснить поподробнее... только с учётом, того, что ты уже проделал первые два пункта: Заходим в ветку HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL. Справа щёлкаем правой кнопкой и выбираем "Создать>Параметр DWORD". Нам предложат его назвать, называем CheckedValue. Потом щёлкаем по нему дважды левой кнопкой и ставим значение 1. Надеюсь, понятно... |
| McSIM:
Маленькая иллюстрация предыдущего поста. |
| paul_met:
--- Цитата: BmpCorp ---Надеюсь, понятно... --- Конец цитаты --- --- Цитата: McSIM ---Маленькая иллюстрация предыдущего поста. --- Конец цитаты --- Даа,люди,легких путей не ищите... :lol: В этом случае проще создать reg файл и простым кликом по нему внести информацию в реестр.. |
| Kинаман:
BmpCorp, как только я первый раз удаляю HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\CheckedValue - он через три секунды снова создаётся сам, поэтому я не могу создать новый файл CheckedValue paul_met, патч не помог. Добавлено позже: Хотя я ж не перезагрузился :blush: Щас файлик один досохранится и попробую. |
| paul_met:
--- Цитата: Kинаман ---paul_met, патч не помог. --- Конец цитаты --- У меня работает... Информация в реестр вносится моментально (перезагрузка в этом случае не нужна) Похоже твоя система даёт сбои.. |
| Maelstrom:
Может быть, ты вирус не до конца удалил? |
| Kинаман:
Я удалил тело вируса и все заражённые файлы, никаких проблем больше не наблюдается, единственное что до сих пор не отображаются скрытые файлы и папки. Ну это в принципе не так уж и страшно, любую скрытую папку можно открыть через поиск, но всё-таки не порядок ведь... |
| HardWareMan:
Внимательно изучи ветки реестра "HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\". В разделах HIDDEN и SUPERHIDDEN изучи значения типа DWORD. Например, CHECKED=1, UNCHECKED=0, DEFAULT=2. Это неверно, ибо выходит за границы диапазона (0 и 1). Манипуляциями здесь можно добиться так, что галка "Показывать защищеные системные файлы" наоборот и радиобатоны "Показывать скрытые файлы" и "Скрывать скрытые файлы" будут выделены оба. ;) В юзерской ветке "HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced" проверь доступность ветки на запись и значения тех же параметров в пределах диапазона. Если сильно напряг, вот тебе две нормальных ветки. ;) Оформи их в *.reg файлы и запусти. --- Код: ---Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder] "Type"="group" "Text"="@shell32.dll,-30498" "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00 "HelpID"="shell.hlp#51140" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ClassicViewState] "Type"="checkbox" "Text"="@shell32.dll,-30506" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="ClassicViewState" "CheckedValue"=dword:00000000 "UncheckedValue"=dword:00000001 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51076" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ControlPanelInMyComputer] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\HideMyComputerIcons" "Text"="@shell32.dll,-30497" "Type"="checkbox" "ValueName"="{21EC2020-3AEA-1069-A2DD-08002B30309D}" "CheckedValue"=dword:00000000 "UncheckedValue"=dword:00000001 "DefaultValue"=dword:00000001 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51150" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DesktopProcess] "Type"="checkbox" "Text"="@shell32.dll,-30507" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="SeparateProcess" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51079" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DesktopProcess\Policy] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DesktopProcess\Policy\SeparateProcess] @="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\DisableThumbCache] "Type"="checkbox" "Text"="@shell32.dll,-30517" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="DisableThumbnailCache" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51155" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FolderSizeTip] "Type"="checkbox" "Text"="@shell32.dll,-30514" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="FolderContentsInfoTip" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "DefaultValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FriendlyTree] "Type"="checkbox" "Text"="@shell32.dll,-30511" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="FriendlyTree" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "HelpID"="shell.hlp#51149" "DefaultValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden] "Text"="@shell32.dll,-30499" "Type"="group" "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00 "HelpID"="shell.hlp#51131" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt] "Type"="checkbox" "Text"="@shell32.dll,-30503" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="HideFileExt" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "DefaultValue"=dword:00000001 "HelpID"="shell.hlp#51101" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\NetCrawler] "Type"="checkbox" "Text"="@shell32.dll,-30509" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="NoNetCrawling" "CheckedValue"=dword:00000000 "UncheckedValue"=dword:00000001 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51147" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\NetCrawler\Policy] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\NetCrawler\Policy\NoNetCrawling] @="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\PersistBrowsers] "Type"="checkbox" "Text"="@shell32.dll,-30513" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="PersistBrowsers" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "HelpID"="shell.hlp#51152" "DefaultValue"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowCompColor] "Type"="checkbox" "Text"="@shell32.dll,-30512" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="ShowCompColor" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "DefaultValue"=dword:00000001 "HelpID"="shell.hlp#51130" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath] "Type"="checkbox" "Text"="@shell32.dll,-30504" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState" "ValueName"="FullPath" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51100" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPathAddress] "Type"="checkbox" "Text"="@shell32.dll,-30505" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState" "ValueName"="FullPathAddress" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "DefaultValue"=dword:00000001 "HelpID"="shell.hlp#51107" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowInfoTip] "Type"="checkbox" "Text"="@shell32.dll,-30502" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="ShowInfoTip" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "DefaultValue"=dword:00000001 "HelpID"="shell.hlp#51102" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SimpleSharing] "Type"="checkbox" "Text"="@shell32.dll,-30518" "HKeyRoot"=dword:80000002 "RegPath"="System\\CurrentControlSet\\Control\\LSA" "ValueName"="ForceGuest" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "HelpID"="shell.hlp#51154" "DefaultValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] "Type"="checkbox" "Text"="@shell32.dll,-30508" "WarningIfNotDefault"="@shell32.dll,-28964" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="ShowSuperHidden" "CheckedValue"=dword:00000000 "UncheckedValue"=dword:00000001 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51103" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\WebViewBarricade] "Type"="checkbox" "Text"="@shell32.dll,-30510" "HKeyRoot"=dword:80000001 "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "ValueName"="WebViewBarricade" "CheckedValue"=dword:00000001 "UncheckedValue"=dword:00000000 "HelpID"="shell.hlp#51148" "DefaultValue"=dword:00000000 --- Конец кода --- --- Код: ---Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ServerAdminUI"=dword:00000000 "Hidden"=dword:00000001 "ShowCompColor"=dword:00000001 "HideFileExt"=dword:00000000 "DontPrettyPath"=dword:00000000 "ShowInfoTip"=dword:00000001 "HideIcons"=dword:00000000 "MapNetDrvBtn"=dword:00000000 "WebView"=dword:00000001 "Filter"=dword:00000000 "SuperHidden"=dword:00000001 "SeparateProcess"=dword:00000000 "ListviewAlphaSelect"=dword:00000001 "ListviewShadow"=dword:00000001 "ListviewWatermark"=dword:00000001 "TaskbarAnimations"=dword:00000001 "StartMenuInit"=dword:00000002 "StartButtonBalloonTip"=dword:00000002 "StartMenuScrollPrograms"="NO" "IntelliMenus"=dword:00000001 "StartMenuRun"=dword:00000001 "StartMenuAdminTools"="NO" "StartMenuFavorites"=dword:00000000 "StartMenuChange"=dword:00000001 "CascadeControlPanel"="NO" "CascadeMyDocuments"="NO" "CascadeMyPictures"="NO" "CascadePrinters"="NO" "CascadeNetworkConnections"="NO" "TaskbarSizeMove"=dword:00000000 "TaskbarGlomming"=dword:00000000 "NoNetCrawling"=dword:00000000 "PersistBrowsers"=dword:00000000 "DisableThumbnailCache"=dword:00000000 "FriendlyTree"=dword:00000001 "FolderContentsInfoTip"=dword:00000001 "WebViewBarricade"=dword:00000000 "ClassicViewState"=dword:00000000 "ShowSuperHidden"=dword:00000001 --- Конец кода --- |
| BmpCorp:
--- Цитата: paul_met ---Даа,люди,легких путей не ищите... В этом случае проще создать reg файл и простым кликом по нему внести информацию в реестр.. --- Конец цитаты --- Ради одной строчки не всегда проще создавать reg-файлы... к тому же так человек научится работать с реестром :P --- Цитата: HardWareMan ---Внимательно изучи ветки реестра --- Конец цитаты --- И ещё поищи в реестре ссылки на файлы msfun80.exe, msime82.exe и algsrvs.exe, вдруг они там остались... |
| Kинаман:
--- Цитата: HardWareMan ---Оформи их в *.reg файлы и запусти. --- Конец цитаты --- Извини за тупой вопрос... а как? :) |
| Henty:
--- Цитата ---Извини за тупой вопрос... а как? --- Конец цитаты --- Открываешь NotePad, копипастишь текст кода. Сохраняешь с расширением *.reg |
| Mefistotel:
Блин, парни у меня тоже последствие работы вируса.Вирус был такой, Virus.Win32.AutoRun.dt(касперовская идентификация).Причем Касперский-сволочь выдавал сообщения типа лечение невозможно, затем удаление невозможно и в итоге пропустить.Хорошо, что у меня проверка целостности реестра включена была. Определил файлы вируса.Тело Jun.exe несколько файликов имею в названии Jun.Пожрал он несколько ключей, как их востановить, х*ен знаю ибо в реестре не силен, пока..Так вот, теперь у меня проблема с explorer.Не распознается корзина, музыкальные файлы .ogg и многие другие в меню пуск программы.Вручную запускаю проводник-все нормально.Да, еще в локалке все файлы неопознаны. Фотки http://img82.imageshack.*/img82/2861/88287531gh8.gifhttp://img82.imageshack.*/img82/9144/76611167dg7.gif Помогите, чем сможете.Винду форматировать жуть как не хочется, надоело. |
| McSIM:
--- Цитата: Kинаман от 12 Февраль 2008, 15:05:06 ---Извини за тупой вопрос... а как? :) --- Конец цитаты --- Вот попробуй, уже оформленые (вдруг моё оформление сработает). |
| Kинаман:
HardWareMan, спасибо огромное! Теперь всё нормально работает! ;) |
| Rocket:
--- Цитата: Mefistotel от 12 Февраль 2008, 15:28:14 ---Блин, парни у меня тоже последствие работы вируса. Вирус был такой, Virus.Win32.AutoRun.dt(касперовская идентификация). ... Помогите, чем сможете.Винду форматировать жуть как не хочется, надоело. --- Конец цитаты --- Ух ты, у меня пару месяцев назад такой же был! :wow: Касперский сдулся сразу - вирус схавал его ключь и Каспер вообще отказался в последствии запускатся. Решил проблему радикально - переустановкой Windows. |
| HardWareMan:
Такие вирусы выкупаются на "ура" простым Стартером (стартап менеджер от CodeStuff) и Фарой. Запускаем фару, ищем неподписанные файлы в процессах эхплорера, записываем их, грохаем эхплорер, вычищаем фарой и запускаем (ей же) ехплорер обратно. Если вир присосался к сервисам или свцхосту - то тут то же самое, кроме если выдернешь службу с 30 секундами. А вот с винлогоном - подготавливаешь удаление (диалог "Действительно удалить?"), рядом диалог "Дейсвтительно завершить процесс?" и упражняясь в скоростном клике мочишь оба сразу. При выпинывании винлогона есть от 1 до 3 секунд, потом тачка ребутиццо. %) Если не получилось - названия файлов известны, ЕРД Командир и ручками. А вот последствия с реестром - тут уже посложнее, но в общем все тупо - ставятся значения нереальные, вот эхплорер и тупит. Смотрим, включаем моск и исправляем. Все. |
| Mefistotel:
Rocket,Я из-за этой сволочи уже два раза переустанавливал винду.Он на флешках обитает.Информации в сети по нему практически нет.Самое смешное, если он выполняет свою работу, то в свойствах мой компьютер,на вкладке общие,вместо характеристик компа-китайские иероглифы и надпись JUN JUN NOTEBOOK.И последствия:сетевая не работает, проводник гонит и много мелких пакостей. HardWareMan блин я половину не понял, скину снимоk раздела Explorera %SystemRoot%Explorer.exe,13 этот ключ я удалил. |
| Навигация |
| Главная страница сообщений |
| Следующая страница |