З.Ы. И отруби на это время локальную сетку.
---
На компьютере при помощи антивируса или вручную был удален вредоносный объект (часто это файл csrss.exe в папке Windows, одна из разновидностей Pinch). После перезагрузки не отображается рабочий стол и работа с компьютером блокируется.
Причина:
Вредоносная программ регистрируется как отладчик процесса explorer.exe и ее удаление приводит к блокировке запуска explorer.exe, что делает дальнейшую работу на компьютере невозможной (следствие невозможности запуска explorer.exe - нет рабочего стола, иконок на нем и т.п.).
Лечение:
1. Скачать AVZ и обязательно обновить его базы http://z-oleg.com/avz.exe
2. Загрузить пораженный компьютер, и нажать CRTL+ALT+DEL. В появивемся диспетчере задач нажать "Новая задача", и выбрать avz.exe.
3. В AVZ меню "Файл/Восстановление системы". Пометить позицию "Удаление отладчиков системных процессов" и нажать "Выполнить отмеченные операции"
4. Перезагрузиться http://www.z-oleg.com/secur/avz_se_doc/
---
Сделал вот так!
1. Скачать AVZ и обязательно обновить его базы
2. Загрузить пораженный компьютер, и нажать CRTL+ALT+DEL. В появившемся диспетчере задач нажать кнопку "Новая задача", и в открывшемся окне выбора файла выбрать avz.exe.
3. В AVZ меню "Файл/Восстановление системы". Пометить позиции "9. Удаление отладчиков системных процессов" и "16. Восстановление ключа запуска Explorer", после чего нажать "Выполнить отмеченные операции".
4. Перезагрузиться
---
ага, пошло!
В том же AVZ в разделе "Восстановление системы" выбрал Сброс настроек префиксов протоклов, Восстановление настроек проводник, Автоматическое исправление настроек spi / lsp, сброс настроек spi / lsp, TCP/IP - что это такое в большинстве случаев не знаю, но работает ))). Похоже глюк был связан с Каспером, уж очень он систему подгружает.
---
Симптомы: После удаления вредоносного объекта после перезагрузки отображается пустой рабочий стол, нет кнопки "Пуск" и панели задач
Запуск процесса explorer.exe вручную невозможен.
После лечения вируса исчез рабочий стол.
На компьютере при
помощи антивируса или вручную был удален вредоносный объект (часто это
файл csrss.exe в папке Windows, одна из разновидностей Pinch). После
перезагрузки не отображается рабочий стол и работа с компьютером
блокируется.
Причина:
Вредоносная программ
регистрируется как отладчик процесса explorer.exe и ее удаление
приводит к блокировке запуска explorer.exe, что делает дальнейшую
работу на компьютере невозможной (следствие невозможности запуска
explorer.exe - нет рабочего стола, иконок на нем и т.п.).
Лечение:
1. Скачать AVZ отсюда: (http://z-oleg.com/secur/avz/download.php) и обязательно обновить его базы
2. Загрузить пораженный компьютер, и нажать CRTL+ALT+DEL. В появившемся
диспетчере задач нажать кнопку "Новая задача", и в открывшемся окне
выбора файла нажать кнопку "Обзор" и выбрать через "Мой Компьютер" тот
раздел диска или флешки, а затем папку, где у Вас находится скаченный
файл avz.exe.
3. В AVZ меню "Файл/Восстановление
системы". Пометить позицию "Удаление отладчиков системных процессов" и
нажать "Выполнить отмеченные операции".
4. Перезагрузиться"
---
то загляните в файл autorun.inf, и там увидите, откуда запускается ваш троянчик (думаю что из той самой RECYCLER). После этого файл autorun.inf убивайте безжалостно, как и тот файл на который он ссылается.
Не забудьте создать на всех своих флэшках папку (не файл!) с именем autorun.inf.
Пока не выполните первое, второе сделать не сможете
---
попробуйте восстановить систему в более раннее состояние.
Без работающего эксплорера можно это сделать так:
- Жмем три веселые клавиши CTRL + ALT + DEL
- В открывшемся окне выбираем Диспетчер задач
- Вверху: Файл >>> Новая задача (выполнить)
- В открывшемся окне жмем кнопку Обзор
- Переходим по адресу C:\WINDOWS\system32\Restore
- Запускаем приложение восстановления rstrui.exe
---
Это все здорово, но, как показывает моя практика, может не помочь. Помогло мне совсем другое: проверьте, есть ли в system32 файл userinit.exe и ntos.exe. Если есть ntos.exe, то это - троян. Смотри в инете как избавиться. У меня его КИС 2009 убил. А вот userinit.exe не восстановил. Его можно из system32\dllcache\ взять. После этого все отлично заробатало. Успехов.
---
HijackThis 2.0.2 не помог.
CureIt не помог.
AVZ с использованием восстановления не помог.
.....
CClener с чисткой реестра не помогло.
Все было точно так же с вышеперечисленными программами, но меня выручил Lavasoft Ad-Aware SE со свежей базой, запущенный в жестком режиме.
---
Ad-Aware Personal (Windows 98/Me/NT/2000/XP) 1.06 - скачать
Сразу после загрузки продукта не забудьте его обновить!
Русификатор Ad-Aware Personal, Plus, Prof (для версии 1.05) - скачать
Руководство пользователя Ad-Aware professional 1.05 на русском языке - скачать
---
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
Скачай присоединенный к этому сообщению файл, измени расширение на *.reg и открой.
Файлы (1)
---
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
Там убиваем explorer.exe а заодно и много чего другова, и всё начинает запускаться.
В этой ветке лежат файлы которые запрещено запускать, иногда бывает глюк, что туда попадают и хорошие файлы
---
