ездил в гости в Волга-раст, и там поймал очень хитрый вирусок, называется Worm.Win32.AutoRun.clb состоит из файла amvo.exe и библиотеки amvo.dll, которую он кладет в винде в папку system32. еще один файл нашел в темпе. используя часто обновляемого касперя как лукарство, быстро расправился с этой напастью. однако ветка в реестре HKEY_USERS/../software/microsoft/windows/current version/explorer/advanced содержит параметр Hidden, отвечающий за отображение скрытых папок и файлов. И параметр этот ни через regedit ни через Свойства папки - показывать скрытые папки и файлы "не хочет" сохранять то, что мне нужно - то есть показывать. Так как вируса уже нет, я убрал его тело из автозагрузки, удалил его файлы, прошерстил комп в поисках прочих его кусков, то налицо дело в реестре, а конкретно - в политиках разрешения пользователям менять свойства проводника. Учетная запись на компе одна. одмина. да, каюсь. Подскажите, где найти эту ветвь реестра, которая отвечает за такой вопрос, как разрешение изменить свойства проводника. Благодарю.
Если в: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL наидете СТРОКОВЫЙ параметр CheckedValue=1 удалите его и создаите там же параметр dword с тем же именем. После этого - проделаите то же самое с HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Параметр hidden - удалите и заместо нег осоздаите такои же но nbg dword. Должно быть чтото вроде в результате: "Hidden"=dword:00000001 Ну и перезагрузитесь после этого. добавлено через 1 минуту Обобщая - надо недопустить чтобы вышеописанные параметры были несвоиственных им типов СТРОКА, а были dword. Ну и соответсвенно - числовые значения должны быть после этого отредактированы.
вот тут как раз и была проблема. тут был в параметре DWORD значение 2. что значит не показывать. а через свойства папки меняется параметр в вестке реестра HKCU. поменяв эти оба параметра на 1, восстановил возможность свойств папки скрывать/отображать значки. Тему можно закрывать, однако она пригодится многим - я часто встречал жалобы людей на последствия вирусной атаки и невозможность менять отображение скрытых файлов после чистки системы.
еще частенько вирус может заблокировать редактирование реестра при этом. лечится так: 1) пуск - выполнить - gpedit.msc 2) конфиг пользователя - административные шаблоны - система 3) находим параметр "Сделать недоступны редак-е реестра" - поставить "Отключено" готово.
Everwesss, Скачиваешь антивирусную утилиту AVZ: http://z-oleg.com/secur/avz/ Открываешь с помощью какого-нибудь Волкова Командера или ФАРа свои диски. Особенно хорошо это заметно по сменным дискам, (флэшкам). Смотришь, как называется файлы с заразой (типа uxdeiect.com) и идёшь в гугль с запросом вида: имя файла AVZ скрипт. Находишь текст скрипта (как правило, на форуме http://virusinfo.info/forum.php ) и выполняешь его в AVZ. Очень хорошо помогает - радикально. Полезно ещё раз проверить сменные носители - на них не должно быть не только этих файлов, но и мусорных корзин. Если не помогает эта утилита, то отсылаешь по адресу, указанному на http://virusinfo.info/forum.php свой карантин, и тебе присылают текст скрипта, который тебе поможет. Но, самой главное - предохраняйся! Отключи автозапуск сменных носителей. Чужие диски просматривай Волковым или ФАРом (найдёшь много интересного, поверь! Лично я на работу всяким му@@кам запарился чистить флэшки, да и компы. Откуда только заразу цепляют?
В текстовом редакторе (блокноте) набираешь или тупо копируешь текст: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun] "NoDriveTypeAutoRun"=dword:000000FF [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000FF Сохраняешь файл под любым именем, но обязательно с расширением .reg например, antiautorun.reg Запускаешь его, перезагружаешь машину. Всё.
Можно в качестве альтернативы - отключить службу "Определение оборудования оболочки" (Правои кнопкои на "мои компьютер", выбрать управление в открывшемся меню, заити в управление службами , наити вышеописанную и двоиным шелчком вызвать окно настройки, тип щапуска - выключено, следом - кнопка СТОП.). После этого автозагрузка исчезнет совсем, как таковая.
Plus, эээээ, дружище, а что понимать под фразой "очень хорошо помогает" в контексте, когда мы запускаем в авз текст скрипта?..
Еще необходимо почистить в корне дисков (вкл. съемные) файлы скрытые autorun.inf, это надо делать через проводник, отображающий скрытые файлы, причем открывать диски только в корне дерева ( а не нажатием на иконки). Потом выполнить отображение скрытых файлов (выше были рекомендации по рессетру) плюс не забыть удалить вирус из автозапуска (в HKLM/..../RUN)