Igor48
06.11.2009, 11:35
http://netler.ru/pc/images/macrovir.jpg
Вирусы становятся всё изощреннее, – теперь они, к примеру, не только портят какие-либо определенные файлы, но и изменяют системные настройки и т.д. и т.п. Поэтому даже после лечения зараженного компьютера остаются всевозможные проблемы, например, не открывается флешка (http://netler.ru/pc/flash.htm) (или локальный диск), не открываются какие-либо файлы, некорректно работают некоторые программы…
К сожалению, антивирусы, вылечив ПК, не могут восстановить нарушенные вирусами программные и системные настройки.
Радикальный метод – форматирование винчестера и переустановка операционной системы – не всегда приемлем в силу различных причин.
В таких случаях остается один выход – восстанавливать всё вручную.
1. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»? (http://netler.ru/pc/taskmgr.htm).
2. Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»? (http://netler.ru/pc/folder.htm).
3. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»? (http://netler.ru/pc/regedit.htm).
4. Если вы не можете открыть флешку, см. Что делать, если после лечения от вирусов не открывается флешка? (http://netler.ru/pc/ravmon.htm).
5. Если вы не можете запустить Проводник Windows (как правило, в этом случае – еще при запуске ОС – появляется сообщение об ошибке, что не найден какой-то файл), это означает, что вирус «прописал» себя вместо Explorer.exe.
Запустите Редактор реестра Windows: нажмите Пуск –> Выполнить… –> regedit –> OK;
– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового параметра Shell на Explorer.exe
6. Если вы не можете запустить никакие исполняемые (exe-файлы), найдите в Реестре раздел [HKEY_CLASSES_ROOT\exefile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
7. Если вы не можете запустить com-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\comfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
8. Если вы не можете запустить bat-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\batfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
9. Если вы не можете запустить cmd-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\cmdfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
10. Если вы не можете запустить pif-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\piffile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
11. Если вы не можете запустить Internet Explorer, найдите в Реестре раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\i explore.exe\shell\open\command] и исправьте значение строкового параметра по умолчанию на "C:\Program Files\Internet Explorer\iexplore.exe" %1
Вирусы часто «молотят» под системные файлы, например, вместо iexplore.exe может появиться зараженный файл 1explore.exe.
12. Если вы не можете запустить txt-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\txtfile\shell\open\command] и исправьте значение расширяемого строкового параметра по умолчанию на %SystemRoot%\system32\NOTEPAD.EXE %1
13. Если вы не можете запустить reg-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\regfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на regedit.exe "%1"
14. Если у вас начались проблемы с установкой программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Open\command] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /i "%1" %*
15. Если у вас начались проблемы с унинсталляцией (удалением) программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Uninstall\comm and] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /x "%1" %*
Внимание!
1. Будьте осторожны при манипуляциях с Реестром (см. Что такое Реестр Windows? (http://netler.ru/pc/registry.htm))! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус? (http://netler.ru/pc/antivir.htm)) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Рекомендации данной статьи предназначены для ОС Windows 2000/XP/2003/Vista, для Windows 95/98/Me будут незначительные отличия.
Валерий Сидоров
http://netler.ru
Igor48 добавил 06.11.2009 в 11:41
Устраняем последствия вирусной атаки: ПК не грузится
http://i018.radikal.ru/0909/05/4f52fe570836.jpg
Симптомы заражения: компьютер загрузить не удается – каждый раз дело доходит до «приветствия», и ПК «уходит» на перезагрузку, – и так – по кругу.
При попытке загрузить ПК в Безопасном Режиме (Safe Mode) (http://netler.ru/pc/safe-mode.htm) оказывается, что все учетные записи, доступные в Безопасном Режиме (в том числе, встроенная учетная запись Администратора), «запаролены» вирусом.
Как лечить
Можно снять винчестер и подключить к другому ПК с надежным антивирусом. Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи вируса в Реестре Windows (http://netler.ru/pc/registry.htm).
Поэтому воспользуемся загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:
– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;
– внизу появится строка состояния Starting Winternals ERD Commander;
– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
– в окне Welcome to ERD Commander выберите свою ОС –> OK;
– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
– найдите и удалите следующие файлы (как правило, имеют атрибуты Скрытый, Системный, Только чтение):
• файл PwdServ.exe в папке \WINDOWS\System32\ (Антивирус Касперского идентифицирует этого зловреда, как not-a-virus:PSWTool.Win32.RAS). Именно этот файл блокирует загрузку ПК в Безопасном Режиме, устанавливая свои пароли;
• файл ie_updates3r.exe (вариант – ie_updater.exe; 3,04КБ) в папке \Documents and Settings\<имя_пользователя>\. Panda Antivirus 2008 идентифицирует ie_updates3r.exe, как Trj/Downloader.UBQ, Антивирус Касперского – Trojan-Downloader.Win32.Tiny.aff;
• файл ntos.exe в папке \WINDOWS\System32\;
• все файлы hhxw***.exe в папке \WINDOWS\system32\ (например, hhxw265.exe);
• файл winlogon.exe (42,0КБ) в папке \WINDOWS\. Антивирус Касперского идентифицирует этот вирус, как Trojan.Win32.Pakes.jmb. Этот лже-winlogon.exe грузится вместо настоящего файла winlogon.exe (Программа входа в систему Windows; 507КБ), расположенного в папке \WINDOWS\system32\;
– закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> Autoruns;
– в окне ERD Commander Computer Management раскройте (слева) Autoruns (System, <имя_пользователя>, Администратор);
– удалите (если таковые имеются) записи следующих файлов, стартующих вместе с ОС: WINDOWS\winlogon.exe; \WINDOWS\system32\hhxw265.exe; \WINDOWS\System32\ntos.exe; \WINDOWS\System32\PwdServ.exe. Для удаления выделяйте их щелчком правой кнопки мыши (в правой части окна), из контекстного меню выбирайте Delete;
– закройте окно ERD Commander Computer Management;
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (вирус устанавливает значение этого параметра, например, C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System 32\ntos.exe,);
– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового REG_SZ-параметра Shell на Explorer.exe (вирус устанавливает значение этого параметра, например, Explorer.exe,C:\WINDOWS\winlogon.exe);
– закройте окно ERD Commander Registry Editor;
– нажмите Start –> Log Off –> Restart –> OK;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– загрузите Windows в обычном режиме.
Как правило, попытка заражения этими вирусами происходит при посещении варезных порталов и порносайтов (например, недавно лечил один ПК и проследил пути проникновения заразы: http://www.zvezdi.ru/ и http://maximonline.ru/).
Отсюда выводы: предохраняйтесь!!!
Хотя некоторые пользователи умудряются подцепить «цифровой триппер» даже при установленном (и настроенном!) брандмауэре и антивирусе (http://netler.ru/pc/antivir.htm) (со свежими базами!)…
Валерий Сидоров
http://netler.ru
Вирусы становятся всё изощреннее, – теперь они, к примеру, не только портят какие-либо определенные файлы, но и изменяют системные настройки и т.д. и т.п. Поэтому даже после лечения зараженного компьютера остаются всевозможные проблемы, например, не открывается флешка (http://netler.ru/pc/flash.htm) (или локальный диск), не открываются какие-либо файлы, некорректно работают некоторые программы…
К сожалению, антивирусы, вылечив ПК, не могут восстановить нарушенные вирусами программные и системные настройки.
Радикальный метод – форматирование винчестера и переустановка операционной системы – не всегда приемлем в силу различных причин.
В таких случаях остается один выход – восстанавливать всё вручную.
1. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»? (http://netler.ru/pc/taskmgr.htm).
2. Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»? (http://netler.ru/pc/folder.htm).
3. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»? (http://netler.ru/pc/regedit.htm).
4. Если вы не можете открыть флешку, см. Что делать, если после лечения от вирусов не открывается флешка? (http://netler.ru/pc/ravmon.htm).
5. Если вы не можете запустить Проводник Windows (как правило, в этом случае – еще при запуске ОС – появляется сообщение об ошибке, что не найден какой-то файл), это означает, что вирус «прописал» себя вместо Explorer.exe.
Запустите Редактор реестра Windows: нажмите Пуск –> Выполнить… –> regedit –> OK;
– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового параметра Shell на Explorer.exe
6. Если вы не можете запустить никакие исполняемые (exe-файлы), найдите в Реестре раздел [HKEY_CLASSES_ROOT\exefile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
7. Если вы не можете запустить com-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\comfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
8. Если вы не можете запустить bat-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\batfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
9. Если вы не можете запустить cmd-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\cmdfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
10. Если вы не можете запустить pif-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\piffile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*
11. Если вы не можете запустить Internet Explorer, найдите в Реестре раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\i explore.exe\shell\open\command] и исправьте значение строкового параметра по умолчанию на "C:\Program Files\Internet Explorer\iexplore.exe" %1
Вирусы часто «молотят» под системные файлы, например, вместо iexplore.exe может появиться зараженный файл 1explore.exe.
12. Если вы не можете запустить txt-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\txtfile\shell\open\command] и исправьте значение расширяемого строкового параметра по умолчанию на %SystemRoot%\system32\NOTEPAD.EXE %1
13. Если вы не можете запустить reg-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\regfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на regedit.exe "%1"
14. Если у вас начались проблемы с установкой программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Open\command] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /i "%1" %*
15. Если у вас начались проблемы с унинсталляцией (удалением) программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Uninstall\comm and] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /x "%1" %*
Внимание!
1. Будьте осторожны при манипуляциях с Реестром (см. Что такое Реестр Windows? (http://netler.ru/pc/registry.htm))! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус? (http://netler.ru/pc/antivir.htm)) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Рекомендации данной статьи предназначены для ОС Windows 2000/XP/2003/Vista, для Windows 95/98/Me будут незначительные отличия.
Валерий Сидоров
http://netler.ru
Igor48 добавил 06.11.2009 в 11:41
Устраняем последствия вирусной атаки: ПК не грузится
http://i018.radikal.ru/0909/05/4f52fe570836.jpg
Симптомы заражения: компьютер загрузить не удается – каждый раз дело доходит до «приветствия», и ПК «уходит» на перезагрузку, – и так – по кругу.
При попытке загрузить ПК в Безопасном Режиме (Safe Mode) (http://netler.ru/pc/safe-mode.htm) оказывается, что все учетные записи, доступные в Безопасном Режиме (в том числе, встроенная учетная запись Администратора), «запаролены» вирусом.
Как лечить
Можно снять винчестер и подключить к другому ПК с надежным антивирусом. Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи вируса в Реестре Windows (http://netler.ru/pc/registry.htm).
Поэтому воспользуемся загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:
– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;
– внизу появится строка состояния Starting Winternals ERD Commander;
– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
– в окне Welcome to ERD Commander выберите свою ОС –> OK;
– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
– найдите и удалите следующие файлы (как правило, имеют атрибуты Скрытый, Системный, Только чтение):
• файл PwdServ.exe в папке \WINDOWS\System32\ (Антивирус Касперского идентифицирует этого зловреда, как not-a-virus:PSWTool.Win32.RAS). Именно этот файл блокирует загрузку ПК в Безопасном Режиме, устанавливая свои пароли;
• файл ie_updates3r.exe (вариант – ie_updater.exe; 3,04КБ) в папке \Documents and Settings\<имя_пользователя>\. Panda Antivirus 2008 идентифицирует ie_updates3r.exe, как Trj/Downloader.UBQ, Антивирус Касперского – Trojan-Downloader.Win32.Tiny.aff;
• файл ntos.exe в папке \WINDOWS\System32\;
• все файлы hhxw***.exe в папке \WINDOWS\system32\ (например, hhxw265.exe);
• файл winlogon.exe (42,0КБ) в папке \WINDOWS\. Антивирус Касперского идентифицирует этот вирус, как Trojan.Win32.Pakes.jmb. Этот лже-winlogon.exe грузится вместо настоящего файла winlogon.exe (Программа входа в систему Windows; 507КБ), расположенного в папке \WINDOWS\system32\;
– закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> Autoruns;
– в окне ERD Commander Computer Management раскройте (слева) Autoruns (System, <имя_пользователя>, Администратор);
– удалите (если таковые имеются) записи следующих файлов, стартующих вместе с ОС: WINDOWS\winlogon.exe; \WINDOWS\system32\hhxw265.exe; \WINDOWS\System32\ntos.exe; \WINDOWS\System32\PwdServ.exe. Для удаления выделяйте их щелчком правой кнопки мыши (в правой части окна), из контекстного меню выбирайте Delete;
– закройте окно ERD Commander Computer Management;
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (вирус устанавливает значение этого параметра, например, C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System 32\ntos.exe,);
– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового REG_SZ-параметра Shell на Explorer.exe (вирус устанавливает значение этого параметра, например, Explorer.exe,C:\WINDOWS\winlogon.exe);
– закройте окно ERD Commander Registry Editor;
– нажмите Start –> Log Off –> Restart –> OK;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– загрузите Windows в обычном режиме.
Как правило, попытка заражения этими вирусами происходит при посещении варезных порталов и порносайтов (например, недавно лечил один ПК и проследил пути проникновения заразы: http://www.zvezdi.ru/ и http://maximonline.ru/).
Отсюда выводы: предохраняйтесь!!!
Хотя некоторые пользователи умудряются подцепить «цифровой триппер» даже при установленном (и настроенном!) брандмауэре и антивирусе (http://netler.ru/pc/antivir.htm) (со свежими базами!)…
Валерий Сидоров
http://netler.ru