Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 28.07.2005, 21:05   [включить плавающее окно]   #1
artemK0
Мужской Новенький
Автор темы
 
Регистрация: 10.02.2005
Адрес: Украина, Волочиск
Самостоятельно установились обои, которые невозможно поменять.

Значит такая проблема - сегодня лазил по англоязычным сайтам музыки, и мне самостоятельно установилась какая-то прога (никогда больше не буду пользоватся yahoo.com!!!). Она выводит в трее сообщение о том, что мой комп может быть инфицирован, и нужно перейти по ссылке, что-бы закачать Супер-Пупер антивирус. Ну ладно, то в трее я убрал с автозагрузки через msconfig, но прога ещё поставила обои (даже не обои, а на мои обои она выводит свой собственный текст), и отключила доступ в некоторых закладках "Экрана" - остались только - "Заставка" и "Параметры", остальных нет вообще. Ставлю обои через irfan view - оно через пару секунд снова поверх обоев выводит свой текст. Антивирус нашёл трояны, удалил их, но текст всёравно висит. Посоветуйте как избавится - может в реестре снять, или как нибудь ещё.
artemK0 вне форума  
Ответить с цитированием
Непрочитано 28.07.2005, 21:26   [включить плавающее окно]   #2
clerik
Мужской Умудрённый
 
Регистрация: 12.05.2003
artemK0 запустите regedit, найдите
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и поудаляйте все подозрительное.
вариант 2 - найдите поиском все картинки (в первую очередь в каталоге c:\windows (winnt) ) и вычислите именно ту, которая запускается вирусом и подмените её.
__________________
Вы вообще знаете, что такое ЭВМ? ЭВМ — это 100 квадратных метров площади, 25 человек обслуживающего персонала и 30 литров спирта ежемесячно!
clerik вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.07.2005, 22:52   [включить плавающее окно]   #3
t0p_VD
Мужской Абсолютный
 
Регистрация: 27.11.2003
Адрес: г. Смоленск
artemK0
Цитата
и отключила доступ в некоторых закладках "Экрана" - остались только - "Заставка" и "Параметры", остальных нет вообще
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
Все ключи оттуда убить!
t0p_VD вне форума  
Ответить с цитированием
Непрочитано 29.07.2005, 07:46   [включить плавающее окно]   #4
artemK0
Мужской Новенький
Автор темы
 
Регистрация: 10.02.2005
Адрес: Украина, Волочиск
Цитата (clerik) »
вариант 2 - найдите поиском все картинки (в первую очередь в каталоге c:\windows (winnt) ) и вычислите именно ту, которая запускается вирусом и подмените её.
Это не картинка, а просто текст со ссылкой на чёрном фоне, который не мешает нормальному отображению рабочего стола
artemK0 вне форума  
Ответить с цитированием
Непрочитано 30.07.2005, 18:33   [включить плавающее окно]   #5
artemK0
Мужской Новенький
Автор темы
 
Регистрация: 10.02.2005
Адрес: Украина, Волочиск
Так, поснимал с автозагрузки всё, что было - не помогло.
Нашёл в папке windows/system32 файл wpp.html - страницу, которая грузится как обои - пробовал удалить, после смены обоев создаётся опять.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ - удаляю два ключа, жму "Обновить" - они снова создаются. По всему видно, что ОНО сидит в ОЗУ, просмотрел все процесы, всё на своих местах. Что делать?
artemK0 вне форума  
Ответить с цитированием
Непрочитано 30.07.2005, 18:58   [включить плавающее окно]   #6
CapOne
Мужской Умудрённый
 
Аватар для CapOne
 
Регистрация: 08.02.2003
Адрес: Новосибирск
1) поставить AdAware
2) выключить Active Desktop
__________________
Гайдар и другие экономисты поступили очень просто: представили потребности общества в виде решётки, а затем её сплющили.
CapOne вне форума  
Ответить с цитированием
Непрочитано 30.07.2005, 21:22   [включить плавающее окно]   #7
t0p_VD
Мужской Абсолютный
 
Регистрация: 27.11.2003
Адрес: г. Смоленск
artemK0
Цитата
Нашёл в папке windows/system32 файл wpp.html - страницу, которая грузится как обои - пробовал удалить, после смены обоев создаётся опять.
Проскань реестр на наличие ссылки на wwp.html
Цитата
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ - удаляю два ключа, жму "Обновить" - они снова создаются.
Какие?
t0p_VD вне форума  
Ответить с цитированием
Непрочитано 30.07.2005, 22:19   [включить плавающее окно]   #8
artemK0
Мужской Новенький
Автор темы
 
Регистрация: 10.02.2005
Адрес: Украина, Волочиск
Цитата (t0p_VD) »
Проскань реестр на наличие ссылки на wwp.html
Сделал, обнаружило такое:
HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\INTERNET EXPLORER\DESKTOP\GENERAL\
Wallpaper - значение "%SystemRoot%\System32\\wppp.html"
Удаляю, меняю - жму "Обновить", создаётся опять.

Цитата (t0p_VD) »
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ - удаляю два ключа, жму "Обновить" - они снова создаются. Какие?
NoDispAppearancePage - значение "1"
NoDispBackgroundPage - значение "1"

Цитата (CapOne) »
2) выключить Active Desktop
Где можна выключить?
artemK0 вне форума  
Ответить с цитированием
Непрочитано 31.07.2005, 12:31   [включить плавающее окно]   #9
t0p_VD
Мужской Абсолютный
 
Регистрация: 27.11.2003
Адрес: г. Смоленск
artemK0 Чтобы много ерунды не спрашивать - выложи список процессов. А потом ИМХО Safe-mode рулить будет.
P.S. И список установленных служб тоже..
t0p_VD вне форума  
Ответить с цитированием
Непрочитано 31.07.2005, 13:02   [включить плавающее окно]   #10
artemK0
Мужской Новенький
Автор темы
 
Регистрация: 10.02.2005
Адрес: Украина, Волочиск
Всё как то получилось само по себе! Вчера заглючил explorer.exe, и "Выполнил недопустимую операцию", через пару секунд вылетел Active Desctop, я уже хотел было нажать на кнопку "Восстановить Active Desctop", но что-то меня остановило. Полез в реестр, попробовал убрать ключи в ветке HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\, они удалились!!!
Быстренько поменял обои, поудалял всё лишнее в реестре, перезагрузился - Касперский пожаловался на трояна. Вылечил, перезагрузился - стало всё ОК. Аж сам офигел!!!

P.S. Спасибо всем, кто мне помогал в моей проблеме.
artemK0 вне форума  
Ответить с цитированием
Непрочитано 31.07.2005, 13:38   [включить плавающее окно]   #11
t0p_VD
Мужской Абсолютный
 
Регистрация: 27.11.2003
Адрес: г. Смоленск
artemK0 Система какая пользовалась хоть? W98 что-ль? Это уже интересно просто..
t0p_VD вне форума  
Ответить с цитированием
Непрочитано 31.07.2005, 14:58   [включить плавающее окно]   #12
CapOne
Мужской Умудрённый
 
Аватар для CapOne
 
Регистрация: 08.02.2003
Адрес: Новосибирск
пажаласта
AdAware все равно поставь
__________________
Гайдар и другие экономисты поступили очень просто: представили потребности общества в виде решётки, а затем её сплющили.
CapOne вне форума  
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 13:54. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey