83 ответов в этой теме

[V_johnny]

Ребята! хелп...Ничего не получилось! Все именно так и делал, ERD коммандере, но - ничего - "операция отменена вследсвие действующих на компьютере ограничений"... Что можете еще посоветовать?

[YVS]

А код 667895 вводить пробовали?

[V_johnny]

А код 667895 вводить пробовали?

Нет, я просто пострелял файлы...Подцепив этот жесткий к другой машине, а потом заехал с ЛивСД...

[YVS]

V_johnny
Ищите из ERD по реестру параметр RestrictRun и удаляйте все найденные.
Еще надо почистить ветку [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[VladimirSS]

А код 667895 вводить пробовали?

Нет, я просто пострелял файлы...Подцепив этот жесткий к другой машине, а потом заехал с ЛивСД...

в реестре нашли и убили ключи с lol.exe? сам lol.exe убили?
убейте все ключи в ветках HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
и во второй по аналогичному пути.
код не нужен -и без него ок!!! проверяйте что делали, и где были не внимательны. прости господи.

[V_johnny]

А код 667895 вводить пробовали?

Нет, я просто пострелял файлы...Подцепив этот жесткий к другой машине, а потом заехал с ЛивСД...

в реестре нашли и убили ключи с lol.exe? сам lol.exe убили?
убейте все ключи в ветках HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
и во второй по аналогичному пути.
код не нужен -и без него ок!!! проверяйте что делали, и где были не внимательны. прости господи.

Гы... Смешно. нет. просто заехал на другой машине, зашел в папку windows на подключеном слэйвом винте, застрелил lol.exe, далее в documents and setings... застрелил 2 файла gopa.exe


После этого поставил жесткий на место и заехал с ливсиди, нашел почти все ключи, кроме RestrictRun вот теперь второй разз загружусь и поищу. Вопрос только в том, что когда из ERD commandera заходишь в реестр, он дает только две ветки и все. А когда с ливСИДИ-выполнить-regedit, тогда еть ветка hkey_user...

[VladimirSS]

А код 667895 вводить пробовали?

Нет, я просто пострелял файлы...Подцепив этот жесткий к другой машине, а потом заехал с ЛивСД...

в реестре нашли и убили ключи с lol.exe? сам lol.exe убили?
убейте все ключи в ветках HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
и во второй по аналогичному пути.
код не нужен -и без него ок!!! проверяйте что делали, и где были не внимательны. прости господи.

Гы... Смешно. нет. просто заехал на другой машине, зашел в папку windows на подключеном слэйвом винте, застрелил lol.exe, далее в documents and setings... застрелил 2 файла gopa.exe


После этого поставил жесткий на место и заехал с ливсиди, нашел почти все ключи, кроме RestrictRun вот теперь второй разз загружусь и поищу. Вопрос только в том, что когда из ERD commandera заходишь в реестр, он дает только две ветки и все. А когда с ливСИДИ-выполнить-regedit, тогда еть ветка hkey_user...

ну помоему 3
да там находишь своего пользователя, а дальше по тому пути который в первой ветке. и убиваешь.

[V_johnny]

А код 667895 вводить пробовали?

Нет, я просто пострелял файлы...Подцепив этот жесткий к другой машине, а потом заехал с ЛивСД...

в реестре нашли и убили ключи с lol.exe? сам lol.exe убили?
убейте все ключи в ветках HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
и во второй по аналогичному пути.
код не нужен -и без него ок!!! проверяйте что делали, и где были не внимательны. прости господи.

Гы... Смешно. нет. просто заехал на другой машине, зашел в папку windows на подключеном слэйвом винте, застрелил lol.exe, далее в documents and setings... застрелил 2 файла gopa.exe


После этого поставил жесткий на место и заехал с ливсиди, нашел почти все ключи, кроме RestrictRun вот теперь второй разз загружусь и поищу. Вопрос только в том, что когда из ERD commandera заходишь в реестр, он дает только две ветки и все. А когда с ливСИДИ-выполнить-regedit, тогда еть ветка hkey_user...

ну помоему 3
да там находишь своего пользователя, а дальше по тому пути который в первой ветке. и убиваешь.

НЕа hkey_classes_root, hkey_local_machine - и все!

[Borka]

НЕа hkey_classes_root, hkey_local_machine - и все!

А подключить C:\Documents and Settings\%User%\NTUSER.DAT ?

[VladimirSS]

НЕа hkey_classes_root, hkey_local_machine - и все!

малова-то будет http://forum.drweb.com/public/style_emoticons/default/blink.png

[V_johnny]

Еще раз все проверил, перегрузился - появился рабочий стол со старыми ярлыками, да вот только опять это ограничение, а в ветке hkey_local_machine ничего и не осталось от того о чем писали выше...



Так ничего и не запускается...

Хотя диски локальные появились!!!!!!!!!!!!!!! А так все нет мой компьютер, сетевое окружение и т.д. т.е. основных системных иконок

[VladimirSS]

Еще раз все проверил, перегрузился - появился рабочий стол со старыми ярлыками, да вот только опять это ограничение, а в ветке hkey_local_machine ничего и не осталось от того о чем писали выше...



Так ничего и не запускается...

Хотя диски локальные появились!!!!!!!!!!!!!!! А так все нет мой компьютер, сетевое окружение и т.д. т.е. основных системных иконок

редактор реестра тож не работает?

[YVS]

Еще раз все проверил, перегрузился - появился рабочий стол со старыми ярлыками, да вот только опять это ограничение

Какие ограничения?

Так ничего и не запускается.

А конкретней

редактор реестра тож не работает?

Если через ERD его не включали, то не должен - троянец его отключает.

[V_johnny]

Еще раз все проверил, перегрузился - появился рабочий стол со старыми ярлыками, да вот только опять это ограничение

Какие ограничения?
Ничего не запускается(total, far, etc. any programms) выдает сообщение "операция отменена вследсвие действующих на компьютере ограничений"

Так ничего и не запускается.

А конкретней

редактор реестра тож не работает?

Если через ERD его не включали, то не должен - троянец его отключает.

нет в мню "Пуск" команды "Выполнить"


В общем появились только диски и доступ к ним... http://forum.drweb.com/public/style_emoticons/default/mellow.png

[YVS]

V_johnny
В своем посте я перечислил список параметров, которые надо удалить http://forum.drweb.com/public/style_emoticons/default/smile.png

[V_johnny]

Каким образом? Какие ветки и что именно?

Удалить параметр RestrictRun из ветки
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
(при загрузке с внешнего носителя искать надо в подразделах HKEY_USERS)

Из ветки
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
удалить следующие параметры:

NoDrivesNoFindNoFolderOptionsNoRecentDocsMenuNoDesktopNoRunNoLogOffNoNetHoodNoTrayContextMenuNoSetTaskbarNoFavoritesMenuNoViewContextMenuNoHelpNoSetFoldersNoCommonGroupsRestrictRun

Также блокируется диспетчер задач и редактор реестра.

Может я повторюсь, но: У меня данная ветка ВООБЩЕ пустая! и при загрузке с LiveCD---ERD REGEDIT есть только HKEY_LOCAL_MACHINE и HKEY_CLASSES_ROOT. Вроде бы все нормально, а результат какой-то корявенький

[YVS]

Поищите параметр с именем NoRun.

[VladimirSS]

Может я повторюсь, но: У меня данная ветка ВООБЩЕ пустая! и при загрузке с LiveCD---ERD REGEDIT есть только HKEY_LOCAL_MACHINE и HKEY_CLASSES_ROOT. Вроде бы все нормально, а результат какой-то корявенький

может как так подключить
http://www.winblog.ru/2007/09/28/print:page,1,28090702.html

Загрузить мой улей (Hive)…

[V_johnny]

Поищите параметр с именем NoRun.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\StartMenu\StartMenuRun\Policy\NoRun] - пусто


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\StartPanel\ShowRun\Policy\NoRun] - пусто

И все.

Есть еще один нескромній вопрос: Запуская ERD REGEDIT я действительно подключаюсь к реестру на зараженной машине? Если да, то почему он состоит только из двух веток?

[YVS]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Параметр NoRun.
В крайнем случае - используйте поиск по реестру.

Есть еще один нескромній вопрос: Запуская ERD REGEDIT я действительно подключаюсь к реестру на зараженной машине?

Какая версия ERD?

Если да, то почему он состоит только из двух веток?

Если вкратце, то это и есть "настоящие" ветки http://forum.drweb.com/public/style_emoticons/default/smile.png