Смотрите еще нижеприведенные ветки и ищите что-нибудь подозрительное.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Drivers
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Drivers32

Еще возможно подменен файл explorer.exe в папке Windows, тогда можно попробовать на другом компьютере восстановить этот файл.

Ну вот надо и проверить это если

Можно попробовать вручную вычистить часть заразы.
Из под ERD посмотрите папки:
c:\windows
c:\windows\systerm32

найдите файлы *.exe с датой создания, соответствующей дню заражения компьютера. Скорее всего имена будут в виде странного цифробуквенного набора. Переместите их в любую, созданную Вами папку. Удалять не надо т.к. опыта у Вас как я понял мало и можно случайно удалить что-то нужное.

c:\documents and settings\%username%\application data
c:\documents and settings\all users\application data

если в этих двух папках есть exe файлы (не во вложенных папках, а непосредственно в application data) - удалите их

Не паникуйте, если бы с вирусами было так просто бороться то на антивирусах бы не зарабатывали попробуйте вариант с диспетчером, а потом отчет Autoruns в студию

Может все таки из под ERD запустить антивирусные программы Cureit, AVZ, Касперского?

Ничего ERD не показывает. т.е. он не определяет ОС

Точно не определяет??

Ну все полгобовал. Чедес нет. все также при запуске ОС запгружается рабочий стол с моей затавкой. Чё дальше??????????????????

Еще раз повторю не паникуйте "все пробовал" нам вообще ни о чем не говорит, мы ждем конкретных результатов.... Снимали блокировку диспетчера в реестре? Результат тот же самый? Вы уверены что значения в реестре меняются (как то Вы не уверено про ERD командер отзываетесь)? Какие значения были у параметров, которые Вы изменяли? Что насчет Autoruns? По этим и другим вопросам ждем конкретных результатов, если будете просто отвечать "не работает", то процесс сильно затянется....

Да вот вспомнил еще одна фишка:
переименовываете в папке windows файл explorer.exe в explorer1.exe
Соответственно в реестре
HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows NT - CurrentVersion - Winlogon

параметр "Shell" значение "Explorer1.exe"

Поотвечайте, пожалуйста, на все заданные Вам вопросы.

всё попробовал

хотелось бы по пунктам
1. что делаете, загружаясь в ERD (всё, что меняете в реестре) и что из программ запускаете.
2. что происходит с тем, что Вы меняли, после запуска основной ОС и повторного запуска ERD

чудес действительно не бывает.
похоже, что Вы просто что-то упускаете из предложенного выше.

Как говорится в одной из поговорок, "представь, что может быть самое худшее и действуй дальше", по любому для вас худшее - это переустановка операционной системы, доступ к данным у вас есть, можете нужное сохранить, так что волноваться особо не стоит. Честно говоря я бы сразу это порекомендовал, но еще присутствует немаловажная деталь - опыт для вас, если он не нужен - переустанавливайте операционную систему с полным форматированием жесткого диска.

Такие же, как у Вас симптомы мне описали 3 дня назад. По моей просьбе мне принесли заражённый жёсткий диск, я подключил его к своему сис-блоку, произвёл антивирусное лечение. Но были на этом диске зловредные программы, которые не распознавались, как привычные вирусы-перехватчики. Пришлось "Загрузить куст" файла реестра с диска повреждённой системы, удалить в нём вредные авто-запуски, восстановить подменённые сис-файлы. Лечение было успешным.
Для работы с реестром нужны некоторый опыт, смелость, аккуратность, ответственность и желание. Имеется ли ВСЁ это у Вас, чтоб я не тратил напрасно вр на подробн описание?

Пытаюсь продолжить восстановление системы. Запускаю диск с ERD. он пытается определить операционную систему и ничего не находит. Но там есть подсказка, что ОС вышедшие ранее ВИСТЫ не определяются. (ERD у меня 2008) И предлагает найти систему в ручную. Я так и поступаю, появляется форма и я должен выбрать некие файлы (Setup Information)/ А вот где их искать я и не знаю. И что это за файлы. Диски и папки все доступны. По умолчанию он открывает папкуSystem32 виртуального диска Х который создал ERD. Подскажите, как же мне поступить дальше? Я вчера пропустил этот пункт и фактически рылся в реестре самой ERD. Поэтому ничего и не получалось.

Ответ Владимиру Алексееву. Я на самом деле более 10 лет занимаюсь ПК, собрал их не одну сотню. И о реестре я знаю не по наслышке. Сверх глубоких знагий по Винде у меня нет, мне просто это небыло нужно. Вот и сейчас столкнулся с простым вопросом работы с ERD, а знаний то и не хватает. Так что буду признателен за помощь.

Может Вы мне поможете с ERD. Мой вопрос 180713.

Конечно постараюсь помочь.

Но там есть подсказка, что ОС вышедшие ранее ВИСТЫ не определяются. (ERD у меня 2008)

У Вас ERD 6.0, для работы с ХР проще использовать ERD 5.0.

Чтоб по памяти не писать я загружусь с EDR и освежу память

Я так и поступаю, появляется форма и я должен выбрать некие файлы (Setup Information)/ А вот где их искать я и не знаю.

Точно не помню, покажите саму Windows, если не поможет System32.

Я Вам написал как подключив зараженный диск к рабочему компьютеру добраться до реестра, почему бы не попробовать? Только запишите какие значения параметров реестра были вместо тех что должны быть.

Я попробовал. Но у меня ничего не получилось. Если зараженный диск не подключен, то при запуске программы выскакивает окошко, где можно выбрать любой диск. А когда я подключаю зараженный диск и я его реально вижу и могу производить с ним все действия. Когда запускаю программу это окошко не появляется, а появляется другое окошко, где задан вопрос "Do you wish to load remote user profile(s) for scannig". И подтверждение Да Нет. Нажимаешь Да вываливается очередное меню, где надо выбрать LocalService - NetworkService - systemprofile - User - Администратор. Выбираеш любую и попадаешь в реестр, но в КАКОЙ? Мне кажется что в тот, который стоит на хорошем ПК, Вот и не знаю, что делать.

Павел, мне прислали ERD5 я с него запустился, сисема определилась, но что делать дальше не знаю.

1. Вам нужна флешка с CureIt или AVZ

2. Запустите CureIt на полную проверку диска С

3. в ERD есть редактор реестра (меню пуск небольшое - найти легко)

в реестре:
Установите установите значение ключа реестра "DisableTaskMgr" равным "0"
найти его можно тут:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

установите значение ключа реестра “DisableRegistryTools” равным 0
найти его можно тут:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System


так же проверьте следующие ключи:
в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"Shell" - его значение "Explorer.exe"
"Userinit" - его значение "C:\WINDOWS\system32\userinit.exe,"
если значения другие - измените их

так же если в этой ветке есть ключ "TASKMAN" - удалите его

проверьте разделы реестра
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run
помимо S-1-5-18 могут быть S-1-5-19 и т.д.

в этом разделе должен быть один только ключ
"CTFMON.EXE" со значением "C:\WINDOWS\system32\CTFMON.EXE"


посмотрите так же HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
тут трудно описать что должно быть т.к. это зависит от установленных у Вас программ.
посмотрите ключи в пути которых есть "c:\windows", "c:\windows\system32", "с:\documents and settings"

Не удаляйте их пока, а напишите какие есть. возможно, что из них надо будет, что-то удалить.


4. Используя проводник в ERD удалите всё из папок папок

c:\temp
c:\windows\temp
c:\documents and settings\%username%\local settings\temp
c:\documents and settings\%username%\local settings\temporary internet files

5. посмотрите есть ли в папке "c:\documents and settings\%username%\application data" exe файлы. там должны быть только папки

6. Посмотрите в c:\windows\system32
файлы exe с датой создания, соответствующей дате заражения ПК
создайте временную папку и переместите их туда.

Основное из того, что надо сделать - проверка на вирусы!!!

После того как просканируете систему запустите autorun и почистите автозапуск, возможно не все следы вируса будут вычищены, надо будет вручную удалить.
P.S. К сожалению на ERD5 не встроен Autoruns.

И после всего - http://www.lavasoft.com/products/ad_aware.php

Все отлично, ERD помог. Глаза боятся, руки делают. Открыл реестр,
поменял значения, которые были на те, которые Вы мне прислали и все заработало.

HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows NT - CurrentVersion - Winlogon
проверямем чтобы
параметр "Shell" - имел значение "Explorer.exe"(Как раз тут был прописан плохой файл, я его касперским ранее удалил, т.е. его не было на диске, а путь и имя в реестре были)
а параметр "Userinit" - имел значение "C:\WINDOWS\system32\userinit.exe,"(Это так и было)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" значение "0"
Здесь тоже вместо нуля была 1.
Так что всем огромное спасибо.

Не за что. Удачи

ad_aware

Перенесено из формы ответа:

Здравствуйте, Serj515!

Весьма похоже напроделки с реестром. Зайдите от имени Администратора, затем Пуск Выполнить (если не запускается, то через командную строку) -> Regedit -> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System -> удалите или измените на 0 значение DisableTaskMgr (если нет, то тоже самое, только вместо HKEY_CURRENT_USER войдите в HKEY_LOCAL_MACHINE, остальное то же, но еслии там нет, создайте его со значением 0 тип DWORD в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System и в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System). Это было про диспетчер задач; теперь о рабочем столе. Все те же действия, только со значением NoDesktop втех же папках. Удачи!
Консультировал: Lord (4-й класс)
Дата отправки: 14.11.2010, 15:13

Данная программа не редактирует реестр работающей системы.