14 ответов в этой теме

[jonjon]

Windows XP sp2. после лечения диска С Drweb не не запускается ни один EXEшник!!
На работе допустил детей к инету скачать реферат, DRweb к вечеру начал вопить на вирусы. Запустил проверку всех дисков, на все найденные вирусы установлено ЛЕЧИТЬ, если лечение не возможно Удалить. После перезагрузки ситуация: не могу запустить ни одну программу.Ни MWord, ни Regedit и т.д. Пишет "word.exe не найден, попробуйте найти через поиск" и т.д. Вероятно вирус поработал с реестром. Как быть помогите!
Переустановка системы усключена.

[mrbelyash]

scanreg /restore
ой нет ..это в 98


Пуск-Все программы-Стандартные-Служебные -восстановление системы-Восстановление более раннего состояния компьютера
-------------------------------------------
Искренне Ваш,мистер Беляш

[Konstantin Yudin]

каким вирусом они были заражены? что писал Dr.Web?

[jonjon]

Пользователь этой машины я не единственный,проверяли диск без меня, постаивили перед фактом только утром.посмотрю логи.

[Logan]

думаю это был Jeffo, др. веб к сожалению не может лечить зараженные им ехе, только удаляет. а вот [spoil]nod32[/spoil] лечит 90% файлов зараженных эти вирусом(это не реклама, это факты).

[SergM]

Вы совершенно не в курсе принципа заражения этим вирусом. Очень часто для лечения там действительно ничего не остаётся. Вирус известен DrWeb'у ещё в 2003 году. http://info.drweb.com/virus_description/20738
Можно прочитать _кто_ виноват в заражении машины, как оно происходит, др. подробности здесь http://zedcreate.narod.ru/pages/viruses/viruses007.htm

[jonjon]

Господа спасибо за посты, но делать то что? Вечный вопрос. Скачал Dr.Web CureIt!.exe, но он тоже exe. возможно вирус закрыл запуск exe в реестре.Если знать какой ключ реестра, можно былоб экспортировать с здорового компа, а потом импорт ключа на больной. Может кто знает какой ключ реестра?

[account has been deleted]

делать то что?

Загрузитесь с помощью LiveCD http://beta.drweb.com/files/livecd/ или ему подобных.
С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt и записать её на внешний носитель. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
cureit.exe преименовать в cureit.com
Обратиться http://helpme.virusinfo.info/
На выбор. :)
P.S. Кстате реферат на работе запускается? ;)

[Borka]

Господа спасибо за посты, но делать то что?

Сперва сказать, что это был за вирус.
Насчет КуреИта - попробуйте переименовать в *.com или *.pif и запустить.

---
С уважением,
Borka.

[pig]

Ещё вариант - AVZ, там есть скрипт восстановления ассоциаций файлов. По проявлению очень похоже, что гад прописал себя исполнителем EXE.
AVZ, естественно, тоже переименовать.

[jonjon]

Только что Проверил комп Dr.Web CureIt загружась с LIveCD,нашёл BackDoor.Aimbot в System Volume Information, полечил папку почистил.Удолил DRweb установил Касперкого 7.0 с обновлёнными базами, он ни чего не нашёл. Вирусов в системе больше нет, я знаю точно. Но дыры в реестре остались. Нашёл способ запустить exe. создаю .bat файл в нем одна строка например regedit.exe. и запускается. так что в реестр у меня доступ есть. Ура! В HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonuserinit было прописаноC:WINDOWSsystem32userinit.exe,ntos.exe. Вируса ntos.exe уже нет, а запись в реестре осталась. Так и в моём случае, где-то в ключе стоит запрет на запуск пользователем exe. Время вышло. Завтра комп должен быть в строю. ПРийдётся тупо переустановить систему.

[mrbelyash]

урррааааа
http://wiki.drweb.com/index.php/Если_что-то_отключено...
-------------------------------------------
Искренне Ваш,мистер Беляш

[account has been deleted]

ПРийдётся тупо переустановить систему.

Краиние меры, давайте попробуем малой кровью. :)
Исполняемые файлы и ярлыки
Если вдруг вы не можете запустить исполняемые файлы или ярлыки (например, в результате ваших экспериментов с реестром), то решить эту проблему сможет мой(ну типа я им пользуюсь) справочник :-)

Откройте раздел

HKCRexefileshellopencommand
и присвойте параметру по умолчанию значение "%1" %*
-------------------------------------------------------------------------------------------
Windows позволяет ограничить доступ к программам, кроме разрешенных в специальном списке.

Для ограничения запускаемых программ надо открыть раздел
HKCUSOFTWAREMicrosoftWindowsCurrentVersonPoliciesExplorer
и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ для текущего пользователя. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe ...

Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра! Для сброса ограничения на запуск программ надо установить значение ключа RestrictRun в 0
---------------------------------------------------------------------------------------------
Здесь много про реестр:
http://computers.deria.ru/article/~pr/sprav/163/1/
http://winchanger.whatis.ru/file/reg7.zip
Освойте програмку, очень простая ERUNT
The Emergency Recovery Utility NT, при каждом запуске винды делает копию реестра, по датам, можно легко востановить или зделать копию реестра, что вам сильно рекомендую перед тем как вы туда полезете. Папка с копиями в каталоге винды C:WINDOWSERDNTAutoBackup.
З.Ы. Даже русик внизу есть. :)
http://www.larshederer.homepage.t-online.de/erunt/

[mrbelyash]

http://netler.ru/pc/regedit-com.htm-Как разрешить запуск Редактора реестра
с помощью Интерпретатора команд

Даже если запуск Редактора реестра Windows и reg-файлов запрещен, можно внести изменения в Реестр с помощью Интерпретатора команд Windows.



Например, для того чтобы отключить запрет на редактирование Реестра:

– нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;

– переключите (при необходимости) раскладку клавиатуры на EN;

– после приглашения системы C:Documents and SettingsАдминистратор>

введите REG DELETE HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools

– нажмите ;

– на появившийся запрос системы Delete the registry value DisableRegistryTools (Y/N)? введите y (что означает yes), нажмите ;

– появится сообщение Операция успешно завершена;

– на приглашение системы C:Documents and SettingsАдминистратор> введите exit (или просто закройте окно интерпретатора команд).



Для Windows XP это будет выглядеть так:



Microsoft Windows XP [Версия 5.1.2600]

(С) Корпорация Майкрософт, 1985-2001.



C:Documents and SettingsАдминистратор>REG DELETE HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools



Delete the registry value DisableRegistryTools (Y/N)? y



Операция успешно завершена



C:Documents and SettingsАдминистратор>exit



Примечания

1. Для выполнения этой процедуры необходимо войти в систему с учетной записью Администратор или члена группы Администраторы.



2. Для того, чтобы удалить параметр DisableRegistryTools принудительно, без дополнительного предупреждения, используйте ключ /f

REG DELETE HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /f

В этом случае запрос на удаление параметра появляться не будет, сразу появится сообщение Операция успешно завершена.



3. Для вступления изменений в силу без перезагрузки ПК рекомендуется:

– свернуть все окна (щелкнув по одноименной кнопке на Панели быстрого запуска или нажав клавишу с логотипом Windows + D);

– щелкнуть по свободной от значков поверхности Рабочего стола, выбрать из открывшегося контекстного меню Обновить или просто нажать клавишу F5.



4. Если при попытке удаления параметра появляется сообщение Ошибка: Системе не удалось найти указанный раздел или параметр реестра, значит, этот раздел не существует (возможно, вы пытаетесь удалить его повторно).



5. Если при попытке удаления параметра появляется сообщение Системе не удается найти указанный путь, проверьте правильность введения команды.



6. Ключи Программы редактирования системного реестра из командной строки:

REG <Операция> [Список параметров]

<Операция> == [ QUERY | ADD | DELETE | COPY | SAVE | LOAD | UNLOAD | RESTORE | COMPARE | EXPORT | IMPORT ]

Код возврата: (за исключением REG COMPARE)

0 - Успешно

1 - С ошибкой



Для получения справки по определенной операции введите: REG /?

Примеры:

REG QUERY /?

REG ADD /?

REG DELETE /?

REG COPY /?

REG SAVE /?

REG RESTORE /?

REG LOAD /?

REG UNLOAD /?

REG COMPARE /?

REG EXPORT /?

REG IMPORT /?



REG DELETE <раздел> [/v <параметр> | /ve | /va] [/f]



<раздел> Имя раздела в формате: [Компьютер]Путь

<компьютер> Имя удаленного компьютера, если оно опущено, то по умолчанию считается равным имени локального компьютера. Для удаленных компьютеров доступны только HKLM и HKU.

<путь> Полный путь к разделу реестра в виде: КОРЕНЬПодраздел

<КОРЕНЬ> Корневой раздел. Значения: [ HKLM | HKCU | HKCR | HKU | HKCC ]

<подраздел> Полный путь к разделу реестра в выбранном корневом разделе.

<параметр> Имя удаляемого параметра в указанном разделе. Если опущено, из указанного раздела будут удалены все подразделы и параметры.



/ve Удалять безымянные параметры.

/va Запрашивать все параметры данного раздела.

/f Удалять принудительно, без дополнительного предупреждения.
-------------------------------------------
Искренне Ваш,мистер Беляш

[jonjon]

проблему решил с помощью AVZ, мощь.Всем спасибо. обязательно воспользуюсь рекомендациями.