После вируса только заставка

18.07.2009, 17:38

при включении компа появляется рекламная афиша с просьбой позвонить.
Всем привет! Я здесь новенькая, и очень надеюсь что останусь здесь надолго. У меня возникла.

18.07.2009, 18:55 2 18.07.2009, 19:11 [ТС] 3 18.07.2009, 19:13 4 18.07.2009, 19:14 [ТС] 5 18.07.2009, 19:20 6 18.07.2009, 19:20 7 18.07.2009, 19:21 8 18.07.2009, 19:30 [ТС] 9

У меня Windows XP SP2

Добавлено через 3 минуты 34 секунды
А нельзя просто попробывать восстановить систему?

Добавлено через 3 минуты 53 секунды
kirill29 Ваша ссылка у меня не открывается(((
И Ваша вторая ссылка тоже.. Пишется не возможно отобразить страницу(((
Простите, я даже не посмотрела..(((

18.07.2009, 19:32 10 18.07.2009, 19:33 11

восстановление системы не гарантирует результат на 100%. так как не ясно, забэккапен ли у вас explorer.exe и заюэккапен ли он без вируса?

конечно, попробуйте этот шаг. он намного проще.

18.07.2009, 19:35 [ТС] 12 18.07.2009, 19:39 13 18.07.2009, 19:42 14

нажмите сочитание клавиш
и введите в поле Выполнить следующую команду:

и посмотрите, нет ли там строки начинающейся с

19.07.2009, 02:55 [ТС] 15 19.07.2009, 03:09 16

Обязательно произведите обновление баз!

Закройте все работающие программы. Отключите защитное П.О. (антивирусы и фаерволы).

Это конечно не вирус, а всего лишь капелька воды, но разговор у нас пойдет не о воде.

Способы в обоих случаях были примерно одинаковы, но требовали загрузки в безопасный режим. Сегодня я хотел бы рассказать о более продвинутом, хорошо продуманным вирусом-рекламой.

Вирус — программа преследующая собой цели получения данных о пользователе (трояны), размножение и внедрение своего кода в другие программы и контроль над персональным компьютером и т.п. (черви и прочая ерунда).

В данном конкретном случае мы имеем дело с программным вариантом рекламного спама на площадке клиента (определение моё кому не нравится можете оспаривать в комментариях), именно поэтому антивирусное обеспечение в очень редких случаях реагируют на них и правильно действуют в таких случаях.

С теорией пока хватит, теперь я расскажу об одном из тяжелых случаев заражения таким рекламным вирусом. Скорее всего написаны нашими, так как очень и очень продуман, расскажу симптомы:

запуск любого приложения моментально вызывает экранную заставку с тремя рекламными картинками (это или 3 прон картинки или реклама маек и т.п.)
безопасный режим или не запускается или работает в таком же режиме как обычный
редактор реестра не запускается ни в каком из вариантов
диспетчер задач не запускается также и комбинации Alt+F4, CTRL+ALT+DELETE, CTRL + ESCAPE и т.п. также эффекта не дают.
Вставка флешки с любым из установочных файлов любых антивирусов привод к стиранию инсталлятора последнего.

Вобщем не работает ни одна из тактик по обезвреживанию. Установить ничего нельзя, так как запуск установки вызывает полное зависание компьютера и моментальное появление рекламной заставки. Вот её скриншот:

Каждый запуск сайт меняется, так что отследить откуда это счастье Вам не удастся.

Сначала, в который раз повторюсь о том, чего делать не нужно:

не отправляйте СМС. Оно скорее всего Вам не поможет и стоить будет скорее всего больше чем запрашиваемая сумма
не пробуйте удалять папку Windows
обратитесь к профессионалу, если сами не можете справится, так как неправильное поведение может вызвать негативные последствия — например я слышал такой случай, что программа отформатировала винчестер низкоуровневым форматированием (не было записи даже про модель потом)

Теперь о том, что делать?

Подведу итог о состоянии ПК:

безопасный режим не загружается
редактор реестра, диспетчер задач и пункт выполнить не работают
запуск любых установочных файлов приводит к зависанию ПК
проверка на вирусы не возможна, установленный антивирус не реагирует

В общем перепробовал оба варианта описанный мной раннее я пришел к мысли, что без LiveCD тут никак не обойтись.

Я постарался подобрать более менее толковый лайвсиди, чтобы не нужно было копаться в командной строке, но при этом все инструменты были в наличии.

Выбор пал на Lex Live CD 2009, хорошая сборка и все, что нужно для поднятия и проверки системы. Lex можно достать на торрентах и некоторых форумах, а если не найдёте — могу выложить на deposit.

На диске есть своё антивирусное обеспечение, но как и ожидалось проверки ничего не дали. Пришлось искать это дело вручную — для этого проверяем автозагрузку с помощью Autoruns , но и тут ничего не нашлось.

Я уж было стал подумывать о сносе windows, но решил проверить ещё кое что.

Так как у меня работал безопасный режим, но в нем вирус все равно работал также как и в обычном режиме я решил проверить общий ключ автозагрузки .

Подробнее, с помощью Лекс Сиди загружаемся и запускам редактор реестра, который идет на диске. Редактор реестра предложит Вам выбрать пользователя, выбирайте свой. Скриншоты у меня не сохранились, так как ноутбук не мой, но там ничего сложного.

Дальше проверяем вот эти ключи реестра:

Там тоже ничего лишнего, но я не зря сказал Вам о том, что безопасный режим у меня работал — следовательно, загружались настройки по умолчанию , а они находятся тут:

Вобщем подведу саммари:

Если ничего не помогает и безопасный режим не работает, Вам необходим хороший LiveCD
LiveCD должен обладать редактором реестра
Проверяйте все ключи автозагрузки — не только HKCU и HKLM, но и HKU
Меньше кликайте на всплывающих окнах и Никогда не отправляйте смски.

Пропал рабочий стол Windows , но появляется вместе со всеми папками и ярлыками, если загрузиться в Безопасном режиме. Как думаешь админ, в чём может быть дело? Мои проблемы начались с активного субботнего серфинга в интернете, искал образ диска с драйверами к своему ноутбуку (свой задевал куда-то). На одном из сайтов нашёл нужный образ, но решил открыть и посмотреть скришнот диска, расположенный уже на другом сайте – хостинге изображений. И в этот момент, вдруг всполошился мой антивирус и выдал предупреждение, что в папке C:\Users\Имя пользователя\AppData\Local\Temp находится вирус и очистка невозможна, затем компьютер завис, пришлось принудительно перезагрузить. После перезагрузки меня ожидал абсолютно пустой рабочий стол Windows, без папок и ярлыков, вместо моей постоянной заставки была другая, да ещё с таким изображением, лучше вам и не говорить. Пытался запустить Диспетчер задач, с помощью клавиатурного сочетания Ctrl+Alt+Del, но после него экран становится чёрным и так до бесконечности.
Статьи ваши читаю давно, сразу попытался загрузиться в безопасный режим и удачно, там рабочий стол вместе с папками ярлыками на месте. К сожалению, восстановление системы применить не могу, оно у меня отключено. Запустил антивирусную утилиту Dr.Web CureIt и просканировал ей весь системный раздел C:, было найдено три вируса, далее загрузился в систему и что интересно, чужая заставка пропала, но рабочий стол по прежнему пустой. Есть у меня ещё наготове антивирусный диск спасения от NOD32, вот думаю, он и пригодился. Загрузился с диска, после полного сканирования был найден ещё один вирус, но при нормальной загрузке рабочий стол всё же не появился. Есть ли для меня ещё варианты, кроме переустановки Windows? Сергей.
Ещё письмо. Здравствуйте админ. Настраивал разрешение экрана, без малейшего понятия о том, как это делать и что-то видимо не так настроил, так как появилась проблема - пропал рабочий стол Windowsвместе с ярлыками, остался только фон рабочего стола. Как мне кажется проблема не в вирусах. Пробовал применить восстановление системы, но не помогло, надеюсь на вашу помощь. Борис.

Пропал рабочий стол Windows

Если ничего не поможет, обязательно попробуйте самый последний способ в этой статье, он так и называется Если ничего не помогло , он мне часто помогает при исчезновении рабочего стола.
Конечно, при заражении нашей операционной системы вирусом, нужно применять антивирусные лечащие утилиты, затем исправить реестр и производить восстановление системных файлов (это мы всё разберём), но можно решить проблему и более простым способом. Я уверен, если бы у нашего первого читателя было включено восстановление системы, которое прекрасно можно применить в безопасном режиме, то проблема была решена за пять минут. В первую очередь, в таких случаях, нужно вспоминать про восстановление, его придумали не просто так.

вводим в поле ввода explorer и ОК , должен появиться рабочий стол со всеми ярлыками и папками.

Именно файл Explorer.exe отвечает за запуск графической оболочки Windows,

представляющей из себя рабочий стол, меню пуск, панели инструментов и проводник. Если системный файл Explorer.exe не запустился вместе с операционной системой, значит и не запустится рабочий стол. Находится файл explorer.exe в папке C:\Windows.

Ровно в половине случаев проблема будет решена и при следующей загрузке вы увидите свой рабочий стол, далее можно проверить систему на вирусы. Кстати, можете сразу вызвать в Диспетчере задач восстановление системы - Файл -> Новая задача , вводим в поле ввода rstrui.exe , но это в Windows 7 и 8. В Windows XP нужно набрать %systemroot%\system32\restore\rstrui.exe

в большинстве случаев свой рабочий стол вы увидите. Применяем восстановление системы, откатываемся на день назад.

Если и в безопасном режиме также пустой рабочий стол, но восстановление системы у вас включено, тогда можно набрать Ctrl+Alt+Del, откроется Диспетчер задач, далее Файл -> Новая задача , вводим в поле ввода explorer.exe , появится рабочий стол или вводим сразу команду rstrui.exe , запустится восстановление системы, откатываемся назад и проверяем компьютер на вирусы. Ещё желательно провести восстановление системных файлов Windows.

Безопасный режим с поддержкой командной строки

откроется реестр. Если в безопасном режиме у вас тоже будет пустой рабочий стол, тогда попробуйте клавиатурное сочетание Ctrl+Alt+Del , откроется Диспетчер задач , далее Файл -> Новая задача , вводим в поле ввода regedit .

Значит вместо рабочего стола Windows у нас загрузится вирус 2lfg38m0.exe из папки временных файлов temp.

Если в это время нам удастся запустить диспетчер задач, то вместо системного процесса Explorer.exe мы увидим какой-либо вредоносный процесс, в нашем случае 2lfg38m0.exe .

Всё это нужно удалить и привести реестр в нормальный вид. Исправляем оба значения в реестре.

Смотрим ещё одну ветку реестра
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer , если присутствует параметр: NoDesktop , то значение у него должно быть 0 , но ни в коем случае не 1. И вообще параметр NoDesktop можно удалить.

По названию вируса 2lfg38m0.exe , произвожу поиск в реестре и нахожу ещё одно модифицированное значение. Ветка

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon \ в параметре Shell прописан полный путь к вирусному файлу
c:\users\Имя пользователя\appdata\local\temp\2lfg38m0.exe, удаляем всё это, здесь вообще ничего не должно быть.

Параметр Shell должен быть пустой

Значит, вам нужно войти в безопасный режим или безопасный режим с поддержкой командной строки и произвести восстановление системных файлов . Как это сделать?

Происходит проверка и восстановление системных файлов Windows, иногда система может попросить вставить в дисковод установочный диск Windows. Наш файл - Explorer.exe будет восстановлен.

Вот здесь внимание, многие пользователи при запуске утилиты совершают ошибку. Нажимаем CRTL+ALT+DEL, появляется диспетчер задач, жмём Файл-> Новая задача, в открывшемся поле набираем полный путь до файла avz.exe. К примеру у меня файл avz.exe находится в папке C:\Users\Имя пользователя\Desktop\avz4\avz.exe

Открывается главное окно программы

Обновляем утилиту AVZ. Файл –> обновление баз

Выставляем галочки на пункте 9. Удаление отладчиков системных процессов" и 16. Восстановление ключа запуска Explorer, далее нажимаем "Выполнить отмеченные операции".
Перезагрузка.

Если ничего не помогло

и набираем в ней – notepad , попадаем в Блокнот, далее Файл и Открыть.

Заходим в настоящий проводник, нажимаем Мой компьютер. Теперь нам нужен системный диск C:, внимание, буквы дисков здесь могут быть перепутаны, но системный диск C: я думаю вы сможете узнать по находящимся внутри системным папкам Windows и Program Files.

Идём в папку C:\Windows\System32\Config, здесь находятся действующие файлы реестра, указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack, в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра.

Так вот, мы с вами заменим действующие файлы реестра из папки Config резервными файлами реестра из папки RegBack.
Итак, первым делом удалим из папки C:\Windows\System32\Config файлы SAM , SECURITY , SOFTWARE , DEFAULT , SYSTEM , отвечающие за все кусты реестра,

а на их место скопируем и вставим файлы с такими же именами, но из резервной копии, то есть из папки RegBack.

Примечание: Все вместе файлы SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM удалить не получится, удаляйте их по одному. Затем копируйте на их место такие же файлы из папки RegBack.