Не могу восстановить WinXP после вируса

mithell · 14.11.2009, 05:54

Помогите разобраться!
В офисе поражены вирусами 3 компа.
Вероятно загружены через флешку.
Windows XP SP3, антивирусная программа: Norton Internet Security 2008
Не грузился рабочий стол, т.е. одна заставка на экране.
Реестр заблокирован администратором.
Рабочий стол я восстановил, на всех трех.
Пропали закладки свойства папки и в свойствах компьютера закладка дополнительно.
Свойства папки я восстановил, закладку дополнительно не смог.
Проверял четырьмя антивирусами:
NIS 2008
Касперским 2009 с Live CD
DRWEB с Live CD
SEP 12
Все обновлены, каждый что то нашел сое.
Но проблема не пропала.
запускаются непонятные процессы, при каждой перегрузке из TEMPA:
ybro1czn.exe
debug.exe
perflib.exe
В реестре в Run строковый параметр Backup REG_SZ rv9cec.exe
В реестре нашел раздел и параметр с названием asg984jgkfmgasi8ug98jgkfgfb
во как, даже и не выговоришь, кто то извращался.
Когда вставляешь флешку на нее сразу прыгает autorun.inf b autorun.exe
Антивирусы больше ни чего не видят.
Правда при перегрузки на одном компе NIS 2008 сообщает: блокирована попытка вторжения от ChinaOilFactory.cn
На следующий день опять экранная заставка без рабочего стола.
Хакер просто Пифагор.

Артём · 14.11.2009, 11:28

1. По-поводу запускаемых процессов, могу посоветовать установить утилиту Freeware Task Manager, Windows Task Manager Free | Manager, Task, Processes, Fre , с ее помощью узнать источник, запускающий процессы и грохнуть его (папку-источник) вручную Del`om.
2. По-поводу голого рабочего стола после ребута.
СTRL+ALT+DEL => новая задача => regedit.
Находим раздел (папку) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Значением параметра Shell должно быть Explorer.exe . Если это не так, изменяем его на Explorer.exe . Перезагружаемся.
Если значение указанного параметра равно Explorer.exe либо это не помогает, находим раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options и разворачиваем его. Если в нем присутствует подраздел explorer.exe, - удаляем.
3. Что касается Авторана на флехе.
Включите отображение скрытых папок и файлов в меню "Сервис" - "Свойства папки" - "Вид", после чего удалите (при наличии) из корневых каталогов системного диска и съемного диска (флешки) файлы autorun.inf.
4. Насчет пропавшей вкладки "Дополнительно" в "Свойствах компьютера" - поищу соответствующий твик реестра. Потом выложу.
5. Просканируйтесь (желательно в безопасном режиме) также антивирусной утилитой AVZ, предварительно обновив базы. Проверку/лечение проводите с глубокой эвристикой и включенным AVZGuard. Кроме того, в ее меню "Файл" и "Сервис" выполните необходимые действия/скрипты. Берем отсюда: http://z-oleg.com/secur/avz/download.php
6. Еще возможно поможет запуск команды sfc.exe (понадобится установочный диск с ХР SP3) для восстановления системных файлов.

mithell · 17.11.2009, 06:42

Проблема отпала.
Большое спасибо!
И все таки, каким образом можно восстановить вкладку дополнительно?

14.11.2009, 05:54	#1 (permalink)
mithell Новичок Регистрация: 14.11.2009 Сообщений: 2 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Не могу восстановить WinXP после вируса Помогите разобраться! В офисе поражены вирусами 3 компа. Вероятно загружены через флешку. Windows XP SP3, антивирусная программа: Norton Internet Security 2008 Не грузился рабочий стол, т.е. одна заставка на экране. Реестр заблокирован администратором. Рабочий стол я восстановил, на всех трех. Пропали закладки свойства папки и в свойствах компьютера закладка дополнительно. Свойства папки я восстановил, закладку дополнительно не смог. Проверял четырьмя антивирусами: NIS 2008 Касперским 2009 с Live CD DRWEB с Live CD SEP 12 Все обновлены, каждый что то нашел сое. Но проблема не пропала. запускаются непонятные процессы, при каждой перегрузке из TEMPA: ybro1czn.exe debug.exe perflib.exe В реестре в Run строковый параметр Backup REG_SZ rv9cec.exe В реестре нашел раздел и параметр с названием asg984jgkfmgasi8ug98jgkfgfb во как, даже и не выговоришь, кто то извращался. Когда вставляешь флешку на нее сразу прыгает autorun.inf b autorun.exe Антивирусы больше ни чего не видят. Правда при перегрузки на одном компе NIS 2008 сообщает: блокирована попытка вторжения от ChinaOilFactory.cn На следующий день опять экранная заставка без рабочего стола. Хакер просто Пифагор.

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

14.11.2009, 11:28	#2 (permalink)
Артём votum separatum Регистрация: 05.05.2008 Сообщений: 14,603 Записей в дневнике: 52 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 18619	1. По-поводу запускаемых процессов, могу посоветовать установить утилиту Freeware Task Manager, Windows Task Manager Free \| Manager, Task, Processes, Fre , с ее помощью узнать источник, запускающий процессы и грохнуть его (папку-источник) вручную Del`om. 2. По-поводу голого рабочего стола после ребута. СTRL+ALT+DEL => новая задача => regedit. Находим раздел (папку) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Значением параметра Shell должно быть Explorer.exe . Если это не так, изменяем его на Explorer.exe . Перезагружаемся. Если значение указанного параметра равно Explorer.exe либо это не помогает, находим раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options и разворачиваем его. Если в нем присутствует подраздел explorer.exe, - удаляем. 3. Что касается Авторана на флехе. Включите отображение скрытых папок и файлов в меню "Сервис" - "Свойства папки" - "Вид", после чего удалите (при наличии) из корневых каталогов системного диска и съемного диска (флешки) файлы autorun.inf. 4. Насчет пропавшей вкладки "Дополнительно" в "Свойствах компьютера" - поищу соответствующий твик реестра. Потом выложу. 5. Просканируйтесь (желательно в безопасном режиме) также антивирусной утилитой AVZ, предварительно обновив базы. Проверку/лечение проводите с глубокой эвристикой и включенным AVZGuard. Кроме того, в ее меню "Файл" и "Сервис" выполните необходимые действия/скрипты. Берем отсюда: http://z-oleg.com/secur/avz/download.php 6. Еще возможно поможет запуск команды sfc.exe (понадобится установочный диск с ХР SP3) для восстановления системных файлов.

17.11.2009, 06:42	#3 (permalink)
mithell Новичок Регистрация: 14.11.2009 Сообщений: 2 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Проблема отпала. Большое спасибо! И все таки, каким образом можно восстановить вкладку дополнительно?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070