• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о проекте, чтобы узнать больше. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

С рабочего стола все пропало

Статус
В этой теме нельзя размещать новые ответы.
tigra, Запустите AVZ. Файл--Выполнить скрипт В окошко вставьте текст:
Код: 
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 DeleteFile('C:\WINDOWS\system32\vksaver.dll');
 DeleteFile('C:\DOCUME~1\Ira\LOCALS~1\Temp\file_4632.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','file_4632');
 DeleteFile('C:\Documents and Settings\Ira\Главное меню\Программы\Автозагрузка\wwwpos32.exe');
 DeleteFile('c:\docume~1\ira\locals~1\temp\rar$ex08.907\aavz4\aavz.exe');
 DeleteFile('C:\WINDOWS\system32\wmmest.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
И нажмите Запустить. Произойдет перезагрузка. После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите лог virusinfo_syschek.zip
 
tigra, 1Скачайте вот этот файл http://exfile.ru/81166 и сохраните его в C:\windows
2В AVZ выполните скрипт:
Код: 
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\wmmest.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
И нажмите Запустить. После перезагрузки повторите лог.
 
tigra, попробуй заменить експлорер. Вот скачай http://slil.ru/26204537 разархивируй файл скопируй. Далее открой Диспетчер задач там если есть заверши Explorer.exe. Далее там же (в ДЗ) Новая задача - Обзор иди в C:\WINDOWS\ там найди Explorer.exe переименуй в Explorer.old и вставляй файл. Потом открой его
 
Iljeben, так давал я ей. не прокатило :( Там троян никак нехочет вылезать

tigra Отключите востоновление системы
И в AVZ прогоните еще раз тот последний скрипт что я написал. И повторите лог.
 
Я когда в Дз открываю explorer.exe, то у меня все ярлыки появляются, а при перезагрузке опять ничего нет.
А как отключить восстановление системы?
 
tigra написал(а):
А как отключить восстановление системы?
Нажмите для раскрытия...
Запускаите C:\windows\system32\control.exe Далее Система--Востоновление системы--Отключить.
Потом запустите C:\windows\regedit.exe Вы попадете в реестре. Там посмотрите следующее:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe
Если это там есть то удаляйте там папку explorer.exe и iexplorer.exe
Потом выподняйте скрипт:
Гризлик написал(а):
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Нажмите для раскрытия...
 
http://exfile.ru/81244 это ссылка на LOG, у меня ничего не изменилось. Ярлыки появляются на рабочем столе после открытия explorer.exe в Дз
 
tigra, попробуй в автозагрузку кинуть ярлык експлорер. Пуск-Все программы-Автозагрузка шелкни два раза по Автозагрузке и положи туда ярлык експлорер.
 
tigra, Зайдите еще раз в реестр. И идите по такой ветке hkey_local_machine\software\microsoft\windows nt\current version\winlogon там ищите параметр Shell он должен быть explorer.exe
 
Shell у меня explorer.exe и ярлык в автозагрузку кинула. Ничего не изменилось.
 
tigra, Есть одна мысля. Вот этой программой сделайте лог
Скачайте утилиту hijackthis http://exfile.ru/78129

установите эту программу на диске (отметив I Accept в пользовательском соглашении).
Запуск программы в Windows Vista должен производится через контекстное меню "Запустить от имени Администратора"!!!!!
Выберите в ней "Do a system scan and save a logfile"
по окончании сканирования появится текстовый файл hijackthis.log Этот файл разместите на любом файлообменнике (например http://exfile.ru , http://webfile.ru/ или другой)
(указав на форуме в своей теме ссылку на этот файл)
Нажмите для раскрытия...
 
tigra, Запустите HijackThis и нажмите Do System Scan Only В окошке найдите и отмьте строчки:
Код: 
O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Program Files\Get-Styles 2.0\utils\updatebho.dll (file missing)  
O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - C:\Program Files\Get-Styles 2.0\ie\jsloader.dll (file missing) 
O3 - Toolbar: Get-Styles toolbar v3 - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - C:\Program Files\Get-Styles 2.0\ie\toolbar.dll (file missing)
O4 - Startup: explorer.exe
O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Program Files\Get-Styles 2.0\ie\tdataprotocol.dll (file missing)  
O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Program Files\Get-Styles 2.0\ie\tdataprotocol.dll (file missing)  
O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Program Files\Get-Styles 2.0\ie\tdataprotocol.dll (file missing)  
O20 - AppInit_DLLs: ice_time.dll C:\WINDOWS\system32\vksaver.dll
И нажмите Fix Chek
Потом запустите Блокнот и туда вставьте текст:
Код: 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects2]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamsMRU]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoToolbarsOnTaskbar"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetTaskbar"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktop"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ClassicShell"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}]
@="Media Band"
"BarSize"=-


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=dword:00000000
"NoMovingBands"=dword:00000000
"NoCloseDragDropBands"=dword:00000000
"NoSaveSettings"=dword:00000000
"NoSetTaskbar"=dword:00000000
"NoToolbarsOnTaskbar"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoMovingBands"=dword:00000000
"NoCloseDragDropBands"=dword:00000000
"**del.NoMovingBands"=" "

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"**del.NoSaveSettings"=" "
И сохраните файл под любым именем с расширением reg. А потом запустите его. На запрос о добавлении в реестр согласитесь. И перезагрузите компьютер. После сообщите о результате.
 
Все работает, но экран сал ярко салатовый и появилась надпись
you system is infected
system has been stopped due to a serious melfunction.
spyware activity has been delected
it is recommeded to use spyware removal tool to prevent data loss
do not use the computer before all spyware removed

и у меня стоял касперский, он перестал работать. Значок стал серым. Что делать?

---------- Добавлено в 10:45 ---------- Предыдущее сообщение было написано в 10:03 ----------

и еще появляеться одна надпись
attention! system delected a potential hazard (TrojanSPM/LX) on your computer that may infect executable files. You private information and PC safety is at risk. to get rid unwanted spyware and keep your computer safe you need update your current security software. Clicr Ok to download official intrusion delection system
ЧТО ДЕЛАТЬ?
 
tigra,
Мдя.... Новые логи в avz и hijackthis сделайте.
 
tigra,
Ваш лог avz древний. Переделайте его.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

S
При деактивации Вайбер стали удаляться все файлы с рабочего стола
Ответы
3
Просмотры
1K
KUS
KUS
V
Файлы со старого рабочего стола
Ответы
1
Просмотры
2K
prima
P
A
Диспетчер окон рабочего стола грузит систему
Ответы
12
Просмотры
10K
AUTO12
A
chega93
  • Закрыта
Windows XP и SSD
Ответы
11
Просмотры
21K
AlexZir
AlexZir
S
Сохранение фото
Ответы
4
Просмотры
1K
Filimonoff
Filimonoff
Назад
Сверху