У пользователя не запускаются Exe, Com, Bat - вирусов нет!
#1
Отправлено 05 Январь 2009 - 19:50
Операционная система WinXP Pro RUS SP2 - лицензия.
Имя пользователя состоит из двух слов - Sergey Lin (поясню почему об этом говорю чуть ниже).
Пользователь имел права администратора.
Вирусов нет – проверялась машина и DrWeb 4.44 (Честная лицензия! стоит и работает сейчас под другими профилями) и Dr.Web CureIt!.
После запуска "утилит" форумчанина mrbelyash скаченных с его сайта, а именно утилиты для неопытных пользователей (как я) - install2 и drwregsetup и выхода без установки "флажков", запуск любой программы (EXE, COM, BAT,CMD – файлов) вызывает появление сообщения "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети". Сразу скажу, новые программы, игры или обновления не устанавливались.
Под Администратором и создаваемыми новыми учетными записями все работает.
Запуск исполняемых файлов невозможен только под учетной записью конкретного пользователя.
Описанные в сети случаи связаны в основном с наличием или последствиями вирусов. На этой машине их нет.
Как я понимаю, испорчена часть реестра, но какая не знаю!
Как запустить REGEDIT под "битой" учетной записью не знаю, так как переименование (замена) расширений не дает результатов.
Запуск из под Администратора – cmd - > runas /user:Sergey Lin regedit - чтобы открыть regedit для "испорченного" юзера Sergey Lin у меня не получается. Не получается, так как я не знаю и не знаю, у кого спросить, как быть, в случае если имя юзера из 2 слов. Пароль просит только для "Sergey" и пароль в реале пустой!
Возможно, кто-то подскажет, как с этим быть. Спросить мне больше не где и не кого.
Переустановка ОС исключена, так как в этом профиле очень много ценного.
У пользователя к mrbelyash претензий нет, так как все на свой страх и риск делал. Решил пользователь просто посмотреть, что это за утилиты. Я же сам от пользователя не далеко ушел – ламер еще тот =(
#2
Отправлено 05 Январь 2009 - 19:55
Вопрос: с чего вдруг перестали запускаться исполняемые файлы. На лицо проявление вредоносной активности.У пользователя не запускаются EXE, COM, BAT,CMD - вирусов нет!
Операционная система WinXP Pro RUS SP2 - лицензия.
[del]
Решение: обратитесь в службу поддержки или покажите логи хаджека и рку.
#3
Отправлено 05 Январь 2009 - 20:06
Прямо сейчас я на этой машине, и сканер Dr.Web молчит!
#4
Отправлено 05 Январь 2009 - 20:10
Откуда такая уверенность? Возможно сканер не определят вирус.С чем я могу обратиться в службу поддержки, со своей "хотелкой"? У верен, что меня пошлют, так как помогать каждому пользователю (пользователю сети который может написать письмо по e-mail) это не их работа. Вирусов то нет!
http://forum.drweb.com/index.php?s=&sh...st&p=277557Я бы сказал отдельно спасибо, если мне укажут на то, что есть "хаджек и рку"?
Прямо сейчас я на этой машине, и сканер Dr.Web молчит!
#5
Отправлено 05 Январь 2009 - 20:19
Если не запускаются программыС чем я могу обратиться в службу поддержки, со своей "хотелкой"? У верен, что меня пошлют, так как помогать каждому пользователю (пользователю сети который может написать письмо по e-mail) это не их работа. Вирусов то нет! Я бы сказал отдельно спасибо, если мне укажут на то, что есть "хаджек и рку"?
Прямо сейчас я на этой машине, и сканер Dr.Web молчит!
Если при запуске программ вам выдается сообщение "В доступе отказано, обратитесь к администратору".
Данная проблема исправляется в реестре, но что делать если не возможно запустить редактор реестра для исправления этой проблемы? Перед выполнением этих действий-распечатайте страницу или дословно перепишите.
1.При перезагрузке нажать F8 и выбрать "безопасный режим с коммандной строкой". Выбираем запись администратора (или пользователя с правами администратора)
2.Ввести
reg add hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\System /v restrictrun /t REG_DWORD /d 0
3.Появится вопрос Value restrictrun exists,owervrite <Y/N> ? Нажимаем английскую Y и клавишу Enter.
4.Вводим комманду exit и нажимаем Enter.
5.Одновременно нажать CTRL+ALT+DEL
Появится стандартный Диспетчер задач
6.Выбираем вкладку "Приложение" и нажимаем кнопку "Новая задача".
7.В появившемся окошке вводим explorer и жмем Enter.
Загружается рабочий стол
8.Нажимаем "Пуск" и перезагружаемся уже в нормальном режиме.
Подробней здесь http://wiki.drweb.com/index.php/Если_что-то_отключено
#6
Отправлено 05 Январь 2009 - 21:01
Программы не запускаются, только под конкретным пользователем, а не под всеми! Я и сейчас на этой машине, только под "свежесозданной" учетной записью. Сейчас попробую способ из Wiki.
Файл лога HiJackThis приложил.
Прикрепленные файлы:
#7
Отправлено 05 Январь 2009 - 21:04
Чтот я не пойму...какой лог хайджека если у вас не запускаются программы?mrbelyash, если бы я еще понимал, что делаю!?
Программы не запускаются, только под конкретным пользователем, а не под всеми! Я и сейчас на этой машине, только под "свежесозданной" учетной записью. Сейчас попробую способ из Wiki.
Файл лога HiJackThis приложил.
Фикс
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Запустить прикрепленный файл
#8
Отправлено 05 Январь 2009 - 21:08
фикс
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
еще пару моментов там интересных, но нет времени на анализ... подскажут другие...
#9
Отправлено 05 Январь 2009 - 21:09
Только что делать то скажите?! Что значат эти две строчи из лога?
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Regedit из под этого профиля запускается без фикса.
#10
Отправлено 05 Январь 2009 - 21:22
Файл лога HiJackThis приложил.
Проверьте файл C:\WINDOWS\System32\appdrvrem01.exe на http://www.virustotal.com и покажите результат.
#11
Отправлено 05 Январь 2009 - 22:01
reg add hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\System /v restrictrun /t REG_DWORD /d 0
но на картинке несколько иная команда. Какая верна?
Вопрос Value restrictrun exists,owervrite <Y/N> ? у меня не появился.
Операция завершена успешно и все.
Пока не помогло
Обновился. Проверил C:\WINDOWS\System32\ - вирусов не найдено.
#12
Отправлено 05 Январь 2009 - 22:13
reg add hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v restrictrun /t REG_DWORD /d 0В Wiki (http://wiki.drweb.com/index.php/Если_что-то_отключено )указано
reg add hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v restrictrun /t REG_DWORD /d 0
но на картинке несколько иная команда. Какая верна?
Вопрос Value restrictrun exists,owervrite <Y/N> ? у меня не появился.
Операция завершена успешно и все.
Пока не помогло
Обновился. Проверил C:\WINDOWS\System32\ - вирусов не найдено.
#13
Отправлено 05 Январь 2009 - 22:22
Пробую команду с картинки из Wiki.
#14
Отправлено 05 Январь 2009 - 22:51
Вопрос Value restrictrun exists,owervrite <Y/N> ? не появился.
Проблема видимо в ветке HKEY_CURRENT_USER, какая не знаю, и достучаться туда не могу.
#15
Отправлено 05 Январь 2009 - 22:56
НЕ ПОМОГЛО!
Вопрос Value restrictrun exists,owervrite <Y/N> ? не появился.
Проблема видимо в ветке HKEY_CURRENT_USER, какая не знаю, и достучаться туда не могу.
Где то пробел не поставили
reg[Пробел] add[Пробел] hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer[Пробел] /v[Пробел] restrictrun[Пробел] /t[Пробел] REG_DWORD[Пробел] /d[Пробел] 0[Энтер]
Все работает я только что на виртуалке проганял
#16
Отправлено 05 Январь 2009 - 23:21
Обратился в поддержку. Это последняя и единственная надежда.
Всем спаибо!
#17
Отправлено 05 Январь 2009 - 23:26
Попробую еще раз набрать команду с картинки. Мало вероятно, что я два раза ошибся.
Обратился в поддержку. Это последняя и единственная надежда.
Всем спаибо!
А вот так
reg delete hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v restrictrun
?
P.S.
Хотя как-то это все подозрительно...и виртуальная машина у вас висит
И человечек один писал обещал вылить ведерко помоев на этом форуме персонально на меня...
И версия той программы уже как 3 месяца нет на сайте. А сегодня возникла.
И не понятно зачем вы ее запускали...
Ох и подозрительно все это
#18
Отправлено 05 Январь 2009 - 23:54
Mr.Belyash, лично к вам (пока) нет претензий. Разве что вы сами хотите кото-то в чем-то упрекнуть.
Кто и на кого обещал что вылить, это без меня.
Да, VM стоит, но если это для вас "показатель", то вы мне льстите!
Ваши утилитки были скачены с вашей страницы сегодня в 16.54 и в 16.56 с это IP на котором я сейчас.
Мало того, в комментариях к одной из ваших утилит (DrwRegistry) описана именно моя ситуация!
http://www.mrbelyash.ucoz.ru/news/2008-09-03-4#comments
Орфография оригинала сохранена.
-=CUT=-
1. Alex Gorgeous
Программа хорошая и полезная, но заметил то-ли баг В НЕЙ, то-ли глюк У СЕБЯ.
Скачал, запустил, стал смотреть, что там интересного. Нашел кнопочку, которая ставит все галочки, нажал. Посиде леще немного и потом закрыл программу. НЕ нажимая "Ок".
После следующего включения ПК ни одна программа не загрузилась, а компьютер стал беспомощным. Я аж испугался. Помогло восстановление системы.
Если это в программе ошибочка, то хотелось бы, чтобы была кнопка отмена. Чтобы наверняка не применять накикаких действий http://forum.drweb.com/public/style_emoticons/default/smile.png
А если это я что-то накрутил, то сам, значит, виновват.
-=CUT=-
Если есть желание и возможность готов переговорить в Skype или по телефону.
#19
Отправлено 05 Январь 2009 - 23:56
Вот сразу стоп!
Если есть желание и возможность готов переговорить в Skype или по телефону.
Удачи в СТО
P.S.
Не воспроизводится
Аська и почта в профиле.
Больше писать здесь не буду-накажут
#20
Отправлено 06 Январь 2009 - 00:10
Ни возможности, ни желания. Я уже запутался - как сейчас?Если есть желание и возможность готов переговорить в Skype или по телефону.
Вы пофиксили
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
?
Экзешник, переименованный в *.pif или *.scr, запускается?
Борис А. Чертенко aka Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых