-
30.10.2008, 18:50 #1
- Регистрация
- 12.07.2006
- Адрес
- г. Жигулёвск
- Возраст
- 66
- Сообщений
- 648
- Поблагодарили
- 129
- Поблагодарил
- 170
Desktop замучил
Доброго времени суток, коллеги! Может, кто знает, почему при загрузке компа, на экране, постоянно выскакивает: - desktop Блокнот. Вот его содержимое:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
Этот блокнот залез в автозагрузку и почти во все папки. Я его удаляю, но после перезагрузки появляется снова. Антивирус не определяет. Вроде сильно не беспокоит, но надоел порядком. Диск форматировал и ставил другую ОС, всё без толку.С уважением, Николай.
-
30.10.2008, 19:56 #2
- Регистрация
- 18.09.2007
- Адрес
- Нальчик, Кабардино-Балкария
- Возраст
- 44
- Сообщений
- 1,223
- Поблагодарили
- 209
- Поблагодарил
- 112
Вирус 100%. В shell32.dll у вас точно пробел или очепятка?
Если пробел есть - это подтверждает первую фразу.
Что за антивирус у вас?
Насчет форматирования. Если вы потом запускали программы, дистрибутивы с другой партиции, то заразили и чистую систему. Или флешку снова, зараженную вставляли.
Постарайтесь вспомнить после чего это произошло и попробуйте другой антивирус.
---
Еще в Пуск->Выполнить... наберите msconfig и перепишите что у вас во вкладке Автозагрузка.Последний раз редактировалось RA6XTD; 30.10.2008 в 20:03.
-
30.10.2008, 20:54 #3
- Регистрация
- 12.07.2006
- Адрес
- г. Жигулёвск
- Возраст
- 66
- Сообщений
- 648
- Поблагодарили
- 129
- Поблагодарил
- 170
В shell32.dll Не не опечатка, копия из блокнота.
Антивирус, Доктор Веб.
После форматирования, программы, дистрибутивы с другой партии ставил, флешку не ставил.
msconfig в Автозагрузке.
__________________
NeroCheck
Ctfmon
desktop
Microsoft Office
desktop
Omicom IP Service
Ярлык для globaxС уважением, Николай.
-
31.10.2008, 00:20 #4
- Регистрация
- 19.06.2002
- Адрес
- JO40LB
- Возраст
- 67
- Сообщений
- 2,698
- Поблагодарили
- 321
- Поблагодарил
- 87
Кроме автозагрузки возможно путь к программе прописан в Реестре
Нужно просмотреть 2 ветки реестра
HKEY_CURRENT_USER и HKEY_LOKAL_MACHINE
В обоих нужно просмотреть папки с названием Run
находятся они по одинаковому пути:
HKEY_CURRENT_USER \Software\Microsoft\Windows\Current Version \Run
HKEY_Lokal Machine \Software\Microsoft\Windows\Current Version \Run73! Александр (DF9FXK)
-
31.10.2008, 13:25 #5
- Регистрация
- 18.09.2007
- Адрес
- Нальчик, Кабардино-Балкария
- Возраст
- 44
- Сообщений
- 1,223
- Поблагодарили
- 209
- Поблагодарил
- 112
Так пробел есть или нет?
В имени системной билиотеки пробела нет.
Я бы отрубил все, кроме ctfmon - это для переключения раскладки.
Ну и антивир другой попробуйте - касперский, аваст, нод32...
Главное - несколько и отличные от дв. веба.
Ессно с последними базами.
Еще можно провести эксперимент.
Переустановить систему.
Никакого desktop в автозапуске не будет.
И ставя по-очереди софт выяснить после чего появляется левак в автозагрузке.
Ну и плюс смотреть появление новых сервисов.
Добавлено через 1 минуту
Автозапуск в msconfig вбирает в себя и ветки этого реестра.Последний раз редактировалось RA6XTD; 31.10.2008 в 13:27. Причина: Добавлено сообщение
-
31.10.2008, 20:20 #6
-
01.11.2008, 17:00 #7
- Регистрация
- 13.03.2008
- Сообщений
- 312
- Поблагодарили
- 36
- Поблагодарил
- 1
to: RW4HJD Николай вы мало информации даете, какой OS дистрибутив, какая конфигурация, если форматируете /Q , (быстро), то переписывается только MBR,
проверить подлинность системных библиотек можно AVZ 4, ваша проблема похожа на ошибку при отображении скрытых файлов desktop.ini, попробуйте: указатель мыши на пуск, жмите правую кнопку мыши, на подменю выберите проводник, раскрывшемся окне правой клавишей мыши щелкните на значке desktop.ini, в открывшемся меню выберите пункт свойства, выставьте флажок скрытый и щелкните на ок, закройте окно проводника, повторите все, для пункта подменю проводник в общее для всех меню.
73
-
01.11.2008, 20:50 #8
- Регистрация
- 12.07.2006
- Адрес
- г. Жигулёвск
- Возраст
- 66
- Сообщений
- 648
- Поблагодарили
- 129
- Поблагодарил
- 170
OS Windows XP SP2. Форматирую из-под DOS. Раньше ставил эту же OS, и проблем не было.
В проводнике, на значке desktop.ini, выставил флажок скрытый, применить. Вышел и снова открываю проводник, флажка уже нет. Кто-то его снимает? Установил АВАСТ, ничего не нашёл.С уважением, Николай.
-
01.11.2008, 23:56 #9
- Регистрация
- 13.03.2008
- Сообщений
- 312
- Поблагодарили
- 36
- Поблагодарил
- 1
to: RW4HJD Николай, смотрите в свойствах файла вкладку безопасность, для вашей учетной записи должно быть все разрешено, приравнено к учетной записи администратора, если нет, добавьте разрешение, такое возникает при установке приложений, появляется неизвестная учетная запись с большими, или равными, правами, чем ваша текущая, приложения устанавливалось для всех пользователей, а нужно, только для вашей учетной записи, действенно, также изменение прав к папке Documents and Settings, где именно происходит ошибка, сказать трудно, скорее всего, по невнимательности при установке.
73
-
04.11.2008, 20:54 #10
- Регистрация
- 20.01.2006
- Адрес
- Самара, Россия
- Возраст
- 55
- Сообщений
- 1,631
- Поблагодарили
- 532
- Поблагодарил
- 757
Скачайте антивирусную утилиту Зайцева - она бесплатна. Обновите базы. Зайцев позволяет вычищать систему от любой дряни. Работа с ним требует некоторой квалификации, но в хелпе все детально описано - и много инфы в форуме.
Проблема в том, что в памяти висит скрытый процесс - возможно не один. Любые файловые операции перехватываются мальварью. Прибитие процесса тоже не помогает, т.к. его "подельник" отслеживает эту ситуацию и тут же запускает мальварь заново.
С помощью AVZ можно заблокировать активность всех процессов. Вычистить реестр и файловую систему средствами самого avz. Затем восстановить искаженные таблицы вызовов и т.д. Если ваша мальварь известна - то на форуме могут быть рекомендации и готовые скрипты.
http://www.z-oleg.com/secur/avz/
|
Социальные закладки