Помогите вылечить комп
11353
43
Помогите вылечить комп

Подцепила банер на рабочий стол.

Загрузила системным диском ALKID
Через Тоталком удалила все последние экзешники на диске С (4 БЫЛО)
Захожу в систему - нет рабочего стола, диспетчер заблокирован администратором
Захожу через алкид в редактор реестра чтобы вернуть диспетчер - реестр закрыт для редактирования администратором

что делать?
Snezhka
а еще забыла написать
F8 не работает чтобы зайти в безопасном режиме
Snezhka
А почему F8 не работает?
SanekSib
можно по F2 попробовать, а безопасный из за вирусни часто отказывает
SanekSib
да ХЗ почему не работает
сейчас запустила востановление систмеы прервала на форматировании диска
появился F8
загрузила безопасный - диспетчер отключен, рабочего нет

еще попробовала через f8 последнюю рабочую версию - бесполезно

сейчас попробую безопасный с командной строкой чтобы AVZ запустить
Snezhka
Ссылки в личной почте не помогли?
Snezhka
эээ... не совсем понял, что у вас там произошло... но если "появился f8" и удастся запустить AVZ то вы на правильном пути.
al2k
да я все эти ссылки уже с утра перечитала

коды не стала вводить - удалила экзешники

avz не могу запустить потому что диспетчера нет и рабочего стола (пуска нет тоже)
:tantrum:
Snezhka
а можно чем нибудь редактор реестра открыть с алкида если стоит запрет от администратора
Snezhka
обычно удаление exe файлов не приводит ни к чему. они сами собой восстанавливаются да и всё. самое логичное - это ввести код с сайта касперского или dr.web, а после разблокировки проверить антивирусом. Либо, если есть возможность хоть что-нибудь запускать из командной строки, то можно запустить razblocker и разблокировать рабочий стол, реестр и всё остальное, ну а потом лечить антивирусом.
Snezhka
А что если Dr.Web LiveCD попробовать?
al2k
мне удаление помогло убрать банер
я бы рада его вернуть да нет его

в месте с ним нет рабочего стола и диспетчера
SanekSib
Dr.Web LiveCD и Алкид LiveCD одно и тоже загружают альтернативную ОС
но реестр основной ОСи как отредактировать

у меня загрузился безопасный режим с командной строкой
создала батник с записью в реестр с 1 для включения диспетчера - пишет редактирование реестра запрещено

чем можно обойти защиту реестра от редактирования

только прошу - :tantrum: ссылок уже не надо - сама могу ими завалить - пишите конкретные лекарства
Snezhka
Может я чего-то не понимаю, но зачем вы так сильно хотите отредактировать реестр?
Snezhka
Редактирование реестра запрещено

Некоторые вирусы осуществляют блокировку доступа к реестру Windows.
Вернуть доступ к реестру MS Windows можно:

Вариант 1. Кнопка “Пуск” – > “Выполнить…” -> gpedit.msc -> OK

Далее “Групповая политика” -> Политика -> Конфигурация пользователя -> Административные шаблоны -> Система -> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра (Состояние по умолчанию – Не задана) вызовите окно Свойства: Сделать недоступными средства редактирования реестра -> установлен переключатель Включен -> поставьте Отключен (или Не задан) -> Применить -> OK.

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Вариант 2. Выполнить команду (одной строкой)

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
Snezhka
вот эта программка может помочь Reg Organizer
SNOW_BARS
Всем огромное спасибо

Не дай бог кому нибудь но вдруг пригодится
- запустили безопасный режим с командной строкой
- в командной строке cd .. до корневого каталога
- дальше explorer
- в проводнике выбрала флешку на которой заранее записала
bat-файл и прописать в нем такие строки - reg.exe add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t REG_DWORD /d 0 /f pause
- после запуска редактор регистра заработал

далее
Находим параметр DWORD DisableTaskMgr в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\System Значение "0" - включает диспетчер

сейчас перегружаюсь
Snezhka
продолжение:
нет Пуска и рабочего стола

пуск заработал после
Проверить в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell. он должен быть explorer.exe (до этого был экзешник который я удалила)

рабочий стол пока не работает и в пуске нет Свойства системы

Обновляю Касперский - проверяю автозагрузку и мой копьютер
:хехе:
Snezhka
у меня загрузился безопасный режим с командной строкой
а теперь запускайте avz4 и выполните файл\восстановление системы как на скриншоте.
Snezhka
Ну, во-первых, у авз есть "Мастер поиска и устранения проблем", живет в меню "Файл".
Во-вторых, вместо regedit.exe можно попробовать запускать reg.exe.
В-третьих, можно редактировать реестр, загрузившись с того же алкида. Ваш реестр лежит в папке c:\windows\system32\config, файлы system и software (именно так, без расширения), а так же в файле ntuser.dat в папке профиля пользователя. Чтобы их открыть, надо запустить редактор реестра в алкиде, выделить в нем ветвь HKLM, в меню "Файл" выбрать команду "Загрузить куст" и указать какой-либо из этих файлов, затем ввести имя раздела (от фонаря), в который этот файл "примонтируется". Ну а дальше сориентируетесь по знакомым веточкам.
Snezhka
Мну эти порнобаннеры замучили, потому написал батничек в две строки

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "Explorer.exe" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d "C:\WINDOWS\system32\userinit.exe," /f

сохранил под названием antiwinlock.cmd

Открыл gpedit.msc - конфигурация компьютера - конфигурация windows - сценарии запуск-завершение и туда и туда вписал свой этот antiwinlock

Мысль про разблокировку реестра и диспетчера задач мну понравилась. Надо включить в свой antiwinlock

Кстати, если видели виря, блокирующего диспетчер задач через калькулятор (мегалол), то это лечится удалением раздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe (там ключик debugger появляется)
Full
Хотел сам батничек приложить, а не дает... %(
Текущий текст
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "Explorer.exe" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d "C:\WINDOWS\system32\userinit.exe," /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f

Вставляем в блокнот, сохраняем с расширением bat или cmd, прописываем в систему, как указано выше
Full
...
Открыл gpedit.msc - конфигурация компьютера - конфигурация windows - сценарии запуск-завершение и туда и туда вписал свой этот antiwinlock...
А как вписать?
В автозагрузке или в завершении работы добавить сценарий?
Ал
По идее достаточно и в автозагрузке, но, из параноидальных склонностей, вписываю и туда и туда
Full
Выручайте!
После того, как проделала указанные действия - комп перестал вообще пускать в вуинду (ХР). Ввожу пароль - запускается, потом пишет, что сохраняет параметры сеанса и опять окно для выбора юзера на вход. По F8 тоже что-то загрузка винды в сэйфмоде не работает.
Галинка
Комп вообще никакому пользователю и ни при каких условиях не дает зайти в винду...
Галинка
с живой машины качаете drweb livecd, пишете на болванку, грузите болезную машинку с него. лечите. проверяете - запустится или куда. Если фигня продолжается - отстегиваете жесткий диск, пристегиваете его к живой машинке, проверяете - чего там такое творится.
ну или вызываете того, кто способен самостоятельно замучать зверька.
Галинка
Ввожу пароль - запускается, потом пишет, что сохраняет параметры сеанса и опять окно для выбора юзера на вход.
Берем в руки Windows live cd, проверяем параметры в реестре
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" должно быть"Explorer.exe"
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" должно быть"C:\WINDOWS\system32\userinit.exe," , где С - имя системного диска. Похоже, что у вас именно там всякая хрень написана
Галинка
А в безопасный режим с поддержкой коммандной строки пробовали входить?
maxxx
а не пустит. Проходили мы такое.
Злыдь
Всякое бывает...:улыб:

Ну на худой конец конечно Live CD
maxxx
Злыдь починил. И ещё пару штук на компе для удобства сделал...
Злыдю: Thanks!
Галинка
пару штук на компе для удобства сделал...
Эт каких?:улыб:Тоже хочУ
maxxx
Да у меня мышка быстро "бегать" не хотела: комп перешёл по наследству от ребёнка - а у него стояла какая-то крутая логитеховская мышь с кучей кнопок (перешла на его новый комп), и я не смогла найти - где новая usb -мышь (не usb -предыдущая нормально работала) "ускоряется".
Злыдь быстро нашёл.
И теперь принтер с компа ребёнка по сети вижу (а то с флэшками бегали, если что напечатать или отсканировать надо было).
Full
Full, ты враг народа!:улыб:Никогда не используй прямые указания путей, если есть возможность использования глобальных переменных. Если у пользователя венда стоит не на диске Цы или не в папке виноус - скрипт отломает пользователю вход.
Злыдь
Никогда не используй прямые указания путей, если есть возможность использования глобальных переменных. Если у пользователя венда стоит не на диске Цы или не в папке виноус - скрипт отломает пользователю вход.
И что тут делать?
Самое простое - загрузиться с ЛивСиДи и убить батничек?
Поможет или нет?
Ал
грузиться с liveCD и править реестр И скриптик.
Злыдь
Я не враг народа. я его друг:улыб:
Что касается моего скрипта, то тут у мну были варианты.
1. Винда понимает из реестра глобальную переменную %windir%, в чем лично я сильно сомневаюсь, а проверить лень:улыб:
2. Она не понимает, поэтому на ходу генерить рег файлик
3. Использовать мысль, что 99.9% пользователей ставят винду как обычно, а кто ставит необычно способен догадаться, что и куда править руками. Да и вообще, я не предполагал эту хрень выдавать в общий доступ:улыб:
Snezhka
Опять сам себе нажил головняк. Соседка баннер поймала. Прогнал Дрвеб ливсиди, в реестре поправил userinit и shell...
Пока не спасло. Эксплорер не грузиться, только обои висят.
GPRS_User
...В-третьих, можно редактировать реестр, загрузившись с того же алкида. Ваш реестр лежит в папке c:\windows\system32\config, файлы system и software (именно так, без расширения), а так же в файле ntuser.dat в папке профиля пользователя. Чтобы их открыть, надо запустить редактор реестра в алкиде, выделить в нем ветвь HKLM, в меню "Файл" выбрать команду "Загрузить куст" и указать какой-либо из этих файлов, затем ввести имя раздела (от фонаря), в который этот файл "примонтируется". Ну а дальше сориентируетесь по знакомым веточкам.
Это + таблетка от калькулятора помогло, но, потом АВЗет прогнал на восстановление системы.
Моя самооценка слегка выросла...
Ал
Моя самооценка слегка выросла...
В умении пользоваться гуглом - похвально.
В общем-то я серьезно, т.к. увы, часто и в гугле-то найти не могут, хотя все давно написано, по-русски.
Но надо продолжать расти над собой:улыб:

PS
Соседке - привет!
Ал
Посмотри на наличие HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe ключика debugger в нем
ключик - и есть вирус.
А сам раздел можно и нужно удалить.