Странное поведение

Сегодня на ноутбуке удалил Каспера презагрузился и тут странное дело все файлы стали неизвестными кроме htm и txt....И еще cmd и прочее не запускаеться....Диспечер задач работает.Немогу по правилам ничего добавить поскольку ехе не работает просто( Прогу clrav запустил из безопасного режима и командной строки не помогло!Что делать и незнаю
Винду переставлять очень не хочеться:dry:

Вот этот файл распакуйте и запустите, когда предложит внести данные нажмите да
*.exe файлы должны начать открываться...

к сожалению и .reg не открываються на том компе(

Попробуйте через диспетчер (новая задача) запустить регедит и ручками поправить..

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

+ Так же попробовать позапускать другие экзешники.

В безопасном пускает?

чтолибо запускаетца тока из командной строки и то которая при бесопасном режиме и без загрузки оболочки=((((
тут как-то по особому нужно запустить регедит

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 7 минут[/I][/B][/color][/size]

Спасибо огромное!Удалось регедит запустить из под безопасного режима с командной строкой=)Занес данные в реесть и удалось антивирь запустить...После проверки выполню все по правилам=)
И заодно свой основной комп проверю...а то я беспокоюсь

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 28 минут[/I][/B][/color][/size]

Танкс скрипт на лечение сработал а вот на сбор информации не получилось,потому я сделал как было написанно [url]http://virusinfo.info/showthread.php?t=10387[/url] тут
Очень странно ведет себя компьютер
Надо ли отправлять папку карантина?

-

Карантин не надо цеплять к теме. Отправьте его через ссылку "Прислать запрошенные файлы".

Я имел ввиду что из карантина нужно отправить?)

Весь карантин.

Файл сохранён как 080105_140753_Infected_477fe399c8662.zip
Размер файла 1181691
MD5 2f594fa9562aac6516fb81bc6e1e64b9

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS
[/code]
Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
RebootWindows(true);
end.[/code]

вот прикладываю файлы и еще скрин рабочего стола...поскольку чертовщина не пропала....и ехе с reg читаються только с помощью прошлого изменения конфига реестра=\:sad:

Картинка с рабочего стола напоминает "работу" старого-престарого вируса по имени Redlof. Не иначе, новая его реинкарнация... Поищите через AVZ - Сервис - Поиск файлов на диске, файлы [b]folder.htt[/b] - возможно их окажется очень много, пришлите несколько штук по правилам. Особенно тот, что в папке Рабочий стол.

Файл сохранён как 080106_045550_Quarantine_4780b3b668af8.zip
Размер файла 5005
MD5 246298fb517e744263cb4ea9e9434759
в рабочем столе небыло его....и файлов немнога все что были скинул

Хм, ничего плохого там нет. Значит моя гипотеза неверна...

вот ведь старнно....
может чего-то в avz не видно?У мя проста virusinfo_syscheck.zip не хочет создаватца...на 95% прерываеться

@ [b]no_cash[/b]:
Для точной локализации проблемы создайте, пожалуйста, в безопасном режиме новую учётную запись с админ правами и сообщите нам как там выглдяит рабочий стол, и как себя ведут программы. Если учётка нормально работает, повторять ВСЕ правила.
P.S.: Убедитесь в том, что вы - ВЛАДЕЛЕЦ всех дисков! (В безопасном режиме на всех дисках и папках должна быть вкладка 'Безопасность' где можно завладеть дисками изменением пользовательских разрешений. Если 'владелец' как пользователь не указан, задайте его ('Добавить', ввести 'ВЛАДЕЛЕЦ' [или 'OWNER' если система английская] (нажать - 'проверить имена!') и в 'Дополнительные' выбрать себя как владелец). Повторять для ВСЕХ дисков...

Paul

Танкс пользователя еще не создал
а вот с дисками проверил...Вкладка безопасность есть,все разрешено
но при попытке добавить пользователя выдает табличку:
Не удалось отобразить диалог выбора пользователся
(null)

Создал....Рабочий стол стал нормаааальным!Наконечто)Но всеравно но для всех файлов кроме exe и reg потерялась асоциация...Ну они вообще не открываються...Только через ехе программы....
когда avz пытаюсь создать syscheck на 91% обываеться...потому прикладываю avz_log

[quote=no_cash;167965]Создал....Рабочий стол стал нормаааальным!Наконечто)Но всеравно но для всех файлов кроме exe и reg потерялась асоциация...Ну они вообще не открываються...Только через ехе программы....
когда avz пытаюсь создать syscheck на 91% обываеться...потому прикладываю avz_log[/quote]
[b]cmd /k set>x:\info.txt[/b]
В cmd ничего не видно будет, но документ будет лежать в корне диска x (= любой диск, который вы указываете). Покажите нам содержание, пожалуйста.

Paul

кстать про то что ничего не произойдет можна было не говорить)как бы понятно:tongue:
вот и сам файл

Мне кажется что-то не то с PATH=
Сравните:
[quote]Path=D:\PROGRA~1\Borland\CBUILD~1\Bin;D:\PROGRA~1\Borland\CBUILD~1\Projects\Bpl;C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\Program Files\Microsoft SQL Server\90\Tools\binn\[/quote]
и мой:
[quote]Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\PC Connectivity Solution\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Executive Software\Diskeeper\;;;;C:\Program Files\QuickTime\QTSystem\[/quote]
То есть у вас - C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem; - я ожидал на первом месте. Я не могу сказать насколько это имеет значение.
Эти параметры находятся в:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Control\Session Manager\Environment

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet003\Control\Session Manager\Environment

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

Paul

Хммм
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet003\Control\Session Manager\Environment этого вообще нету

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Environment ну ла...это на билдер
так что мне сделать=\Сорри не понимаю

[quote=no_cash;168000] так что мне сделать=\Сорри не понимаю[/quote]
Вам придётся, скорее всего, системные файлы исправить с помощью [b]sfc/scannow[/b] - [проверка целостности системных файлов]. Делайте как описано [url=http://forum.oszone.net/showthread.php?t=40792]здесь[/url]. Потребуется установочный диск Windows.

Paul

Хммм прошу прощения но после запуска этой команды он проверил и диска не попросил даже....И ничего не сказал

[quote=no_cash;168009]Хммм прошу прощения но после запуска этой команды он проверил и диска не попросил даже....И ничего не сказал[/quote]
Ничего не изменилось?

Paul

неа....и path тоже не изменился=(

Я имел в виду реакцию ОС на попытки запуска программ и т.д...

Paul

ну теперь чаще стали ошибки памяти вылетать....
и запускаеться только ехе тхт reg com и все....Незнаю что и делать

[quote=no_cash;168027]ну теперь чаще стали ошибки памяти вылетать....
и запускаеться только ехе тхт reg com и все....Незнаю что и делать[/quote]
Выполните скрипт ещё раз в AVZ:
[code]
begin
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
RebootWindows(true);
end.
[/code]
Paul

невозможно работать теперь....
выскакикивают ошибки
medusa_callbackpostmessage_579D20BC-1CFA-46b9-8A42-9D244829ABB5:FxSvr2.exe
ошибка приложения
и другие....и так по кругу...Еще что сервер занят другим приложением

[quote=no_cash;168035]невозможно работать теперь....
выскакикивают ошибки
medusa_callbackpostmessage_579D20BC-1CFA-46b9-8A42-9D244829ABB5:FxSvr2.exe
ошибка приложения
и другие....и так по кругу...Еще что сервер занят другим приложением[/quote]
FxSvr2.exe = Logitech Video.
У вас какой ноутбук? Там есть средства восстановления от производителя? Обычно они грузятся раньше, чем сама Windows...

Paul

Скрипт запустил не помогло....
Всевремя сервер занят табличка...ужас=(
Ноутбук fujitsu siemens ....это от камеры драйвер...Логитек веб камера

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 7 минут[/I][/B][/color][/size]

Всех с рождеством=)))
Надеюсь чтота проясница позже=))))
Щас не то время)))))

Хммм с ноутбуком так ничего и не решилось...Работаю с флешки(Ну XP PE)....
Я думаю тут проблемма с ассоциациями файлов....Теперь их как-то нужно исправить на компьютере

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\mywebsearch\\bar\\1.bin\\f3dtactl.dll - [B]not-a-virus:WebToolbar.Win32.MyWebSearch.al[/B][*] c:\\program files\\mywebsearch\\bar\\1.bin\\f3htmlmu.dll - [B]not-a-virus:WebToolbar.Win32.MyWebSearch[/B][*] c:\\program files\\mywebsearch\\bar\\1.bin\\f3popswt.dll - [B]not-a-virus:WebToolbar.Win32.MyWebSearch.an[/B][*] c:\\program files\\mywebsearch\\bar\\1.bin\\f3reprox.dll - [B]not-a-virus:WebToolbar.Win32.MyWebSearch.v[/B][*] c:\\program files\\mywebsearch\\bar\\1.bin\\mwsoestb.dll - [B]not-a-virus:WebToolbar.Win32.MyWebSearch[/B][*] c:\\program files\\mywebsearch\\bar\\1.bin\\m3html.dll - [B]not-a-virus:AdWare.Win32.MyWebSearch.w[/B] (DrWEB: Adware.MyWebSearch.1)[*] c:\\program files\\mywebsearch\\bar\\1.bin\\m3skin.dll - [B]not-a-virus:WebToolbar.Win32.MyWebSearch.ad[/B][/LIST][/LIST]