uriy 0 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 Сообщение от модератора thyrex Перемещено из раздела Компьютерная помощь Подцепил вирус Trojan.Win32.Swisyn, после успешного лечения не могу включить отображение скрытых папок. Действия указанные для win xp с редактированием реестра в семерке не дают результата. Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 А через файловый менеджер можете посмотреть? Ссылка на сообщение Поделиться на другие сайты
uriy 0 Опубликовано 8 января, 2010 Автор Share Опубликовано 8 января, 2010 Да через тотал командер скрытые папки видны. Но я бы хотел чтобы этот пункт меню все-таки был активен. Да и не привык я пользоваться файловыми менеджерами. Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 Да через тотал командер скрытые папки видны. Но я бы хотел чтобы этот пункт меню все-таки был активен. Да и не привык я пользоваться файловыми менеджерами. А вы уверены, что вирус полностью уничтожен и "хвостов" не осталось? Ссылка на сообщение Поделиться на другие сайты
EAlekseev 84 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 Подцепил вирус Trojan.Win32.Swisyn, после успешного лечения не могу включить отображение скрытых папок. Действия указанные для win xp с редактированием реестра в семерке не дают результата. Попробуйте рекомендации указанные здесь. Ссылка на сообщение Поделиться на другие сайты
uriy 0 Опубликовано 8 января, 2010 Автор Share Опубликовано 8 января, 2010 (изменено) EAlekseev спасибо, скрытые папки стали видны. Но хотелось бы еще сделать активным пункт "Параметры папок и поиска" пробовал вот это [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer] "NoFolderOptions"=dword:00000001 изменить на 0 и через gpedit.msc параметр "Удалить свойства папок" не помогает. А вы уверены, что вирус полностью уничтожен и "хвостов" не осталось?Что-то начал сомневаться, снова попались на глаза два файла с расширением scr. Изменено 8 января, 2010 пользователем uriy Ссылка на сообщение Поделиться на другие сайты
EAlekseev 84 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 (изменено) EAlekseev спасибо, скрытые папки стали видны. Но хотелось бы еще сделать активным пункт "Параметры папок и поиска" пробовал вот это [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer] "NoFolderOptions"=dword: Точно не знаю. Но я попробовал бы экспортировать содержимое ветки [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] в файл, а затем удалить все её подразделы и параметры. После этого перезагрузитесь и сообщите о результатах. Изменено 8 января, 2010 пользователем EAlekseev Ссылка на сообщение Поделиться на другие сайты
uriy 0 Опубликовано 8 января, 2010 Автор Share Опубликовано 8 января, 2010 Попробовал удалить ветку [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] никакого результата. Еще я забыл сказать немалважную вещь - у меня два компа на вотором тоже семерка, он не заражен. По крайне мере мне пока так кажется. На проблемном компе внутри ветки Policies есть ветка Explorer с параметрами. На рабочем компе ветка Policies пуста. На проблемном компе пробовал удалять ветку Policies целиком и отдельно ветку Explorer оба варианта не дают результата. Ссылка на сообщение Поделиться на другие сайты
vit9696 269 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 (изменено) Дайте все таки логи... http://forum.kasperskyclub.ru/index.php?showtopic=1698 Изменено 8 января, 2010 пользователем vit9696 Ссылка на сообщение Поделиться на другие сайты
uriy 0 Опубликовано 8 января, 2010 Автор Share Опубликовано 8 января, 2010 (изменено) Да я поспешил с выводами об успешном лечении от вируса. Файлы с расширением scr продолжают появлятся. Теперь я думаю целесообразно описать как все начиналось. Стоял антивирусник NOD v.4. В один прекрасный день включил комп, начал набирать в опере адрес, при нажатии клавиш Backspace и Enter раздались какие-то странные звуки. Посмотрел в процессы - ничего необычного не увидел, посмотрел в автозагрузку там лежит smss.exe. При попытке удаления этого файла вылазил BSOD. В безопасном режиме файл нормально удалялся, но при следующей загрузке он снова появлялся. Кроме этого попались на глаза папки с необычным для Win7 видом. Глянул в свойства, а это и не папка вовсе а файл *.scr, который косит под папку и хочет чтобы его запустили. Он начал скрывать существующие папки, а себе присваивать имя этой папки. NOD при этом молчал и полная проверка ничего не выявила. Тут я качнул Kaspersky Removal Tool он обнаружил тот самый smss.exe и другие файлы *.scr. Удалил их, теперь я уже не помню были они поражены одним вирусом или нет, не придал этому значения. Странные звуки при нажатии клавиш Backspace и Enter пропали. Дома у меня локальная сеть из двух компов, на обоих есть ресурсы с доступом на запись. Теоретически к ним могли подцепится через WiFi роутер, но я не верю что пробьются через WPA2 и почему на втором компе нет признаков заражения. Или я их пока только не замечаю? Раньше у меня был проводной инет через роутер, а в нем NAT, из локалки до компов было невозможно достучаться. Последнюю неделю сижу в нете через CDMA модем. Через него по-моему тем более не достучаться до моих ресурсов, или я не прав? NOD теперь снес, стоит триальный каспер. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 8 января, 2010 пользователем uriy Ссылка на сообщение Поделиться на другие сайты
EAlekseev 84 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 Попробовал удалить ветку [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] никакого результата. Еще я забыл сказать немалважную вещь - у меня два компа на вотором тоже семерка, он не заражен. По крайне мере мне пока так кажется. На проблемном компе внутри ветки Policies есть ветка Explorer с параметрами. На рабочем компе ветка Policies пуста. На проблемном компе пробовал удалять ветку Policies целиком и отдельно ветку Explorer оба варианта не дают результата. Значит мы чистим не ту ветку. Это легко проверить. Создайте дополнительную учетную запись пользователя. Залогиньтесь под ним. Эффект тот же? Если да, то чистим ветку (предварительно экспортировав её в файл): [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] Ссылка на сообщение Поделиться на другие сайты
snifer67 88 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 В какой папке появляются файлы с расширением scr ? Ссылка на сообщение Поделиться на другие сайты
vit9696 269 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 Могут быть и в system32, (хранители экрана, если не ошибаюсь, т.ч. .... лучше или к хелперам или на проверку.... Ссылка на сообщение Поделиться на другие сайты
uriy 0 Опубликовано 8 января, 2010 Автор Share Опубликовано 8 января, 2010 Обсуждение вируса переносим сюда http://forum.kasperskyclub.ru/index.php?sh...14023&st=30 По поводу [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] все получилось В проблемном компе была ветка [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] именно с маленькой буквы в рабочем компе такой ветки нет. Удалил ее и меню "Параметры папок и поиска" стало активно. Спасибо. Насчет вируса как уже написал, проделаю действия указанные там, затем отпишусь в той ветке и выложу новые логи. Файлы scr появляются в произвольных каталогах не важнжо расшарен он или нет, на всех трех логических не важн в корне и в папках. Ссылка на сообщение Поделиться на другие сайты
EAlekseev 84 Опубликовано 8 января, 2010 Share Опубликовано 8 января, 2010 Обсуждение вируса переносим сюда http://forum.kasperskyclub.ru/index.php?sh...14023&st=30По поводу [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] все получилось В проблемном компе была ветка [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] именно с маленькой буквы Неужели в Policies было два подраздела: Explorer и explorer (т.е. с большой и маленькой буквы)? Странно, раньше регистр букв в именах разделов и параметров не учитывался. Может в Windows 7 поменяли, хотя сомневаюсь. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти