После вируса только заставка

18.07.2009, 17:38

при включении компа появляется рекламная афиша с просьбой позвонить.
Всем привет! Я здесь новенькая, и очень надеюсь что останусь здесь надолго. У меня возникла.

18.07.2009, 18:55 2 18.07.2009, 19:11 [ТС] 3 18.07.2009, 19:13 4 18.07.2009, 19:14 [ТС] 5 18.07.2009, 19:20 6 18.07.2009, 19:20 7 18.07.2009, 19:21 8 18.07.2009, 19:30 [ТС] 9

У меня Windows XP SP2

Добавлено через 3 минуты 34 секунды
А нельзя просто попробывать восстановить систему?

Добавлено через 3 минуты 53 секунды
kirill29 Ваша ссылка у меня не открывается(((
И Ваша вторая ссылка тоже.. Пишется не возможно отобразить страницу(((
Простите, я даже не посмотрела..(((

18.07.2009, 19:32 10 18.07.2009, 19:33 11

восстановление системы не гарантирует результат на 100%. так как не ясно, забэккапен ли у вас explorer.exe и заюэккапен ли он без вируса?

конечно, попробуйте этот шаг. он намного проще.

18.07.2009, 19:35 [ТС] 12 18.07.2009, 19:39 13 18.07.2009, 19:42 14

нажмите сочитание клавиш
и введите в поле Выполнить следующую команду:

и посмотрите, нет ли там строки начинающейся с

19.07.2009, 02:55 [ТС] 15 19.07.2009, 03:09 16

Обязательно произведите обновление баз!

Закройте все работающие программы. Отключите защитное П.О. (антивирусы и фаерволы).


Это конечно не вирус, а всего лишь капелька воды, но разговор у нас пойдет не о воде.

Способы в обоих случаях были примерно одинаковы, но требовали загрузки в безопасный режим. Сегодня я хотел бы рассказать о более продвинутом, хорошо продуманным вирусом-рекламой.

Вирус — программа преследующая собой цели получения данных о пользователе (трояны), размножение и внедрение своего кода в другие программы и контроль над персональным компьютером и т.п. (черви и прочая ерунда).

В данном конкретном случае мы имеем дело с программным вариантом рекламного спама на площадке клиента (определение моё кому не нравится можете оспаривать в комментариях), именно поэтому антивирусное обеспечение в очень редких случаях реагируют на них и правильно действуют в таких случаях.

С теорией пока хватит, теперь я расскажу об одном из тяжелых случаев заражения таким рекламным вирусом. Скорее всего написаны нашими, так как очень и очень продуман, расскажу симптомы:

  • запуск любого приложения моментально вызывает экранную заставку с тремя рекламными картинками (это или 3 прон картинки или реклама маек и т.п.)
  • безопасный режим или не запускается или работает в таком же режиме как обычный
  • редактор реестра не запускается ни в каком из вариантов
  • диспетчер задач не запускается также и комбинации Alt+F4, CTRL+ALT+DELETE, CTRL + ESCAPE и т.п. также эффекта не дают.
  • Вставка флешки с любым из установочных файлов любых антивирусов привод к стиранию инсталлятора последнего.

Вобщем не работает ни одна из тактик по обезвреживанию. Установить ничего нельзя, так как запуск установки вызывает полное зависание компьютера и моментальное появление рекламной заставки. Вот её скриншот:


Каждый запуск сайт меняется, так что отследить откуда это счастье Вам не удастся.

Сначала, в который раз повторюсь о том, чего делать не нужно:

  • не отправляйте СМС. Оно скорее всего Вам не поможет и стоить будет скорее всего больше чем запрашиваемая сумма
  • не пробуйте удалять папку Windows
  • обратитесь к профессионалу, если сами не можете справится, так как неправильное поведение может вызвать негативные последствия — например я слышал такой случай, что программа отформатировала винчестер низкоуровневым форматированием (не было записи даже про модель потом)

Теперь о том, что делать?

Подведу итог о состоянии ПК:

  1. безопасный режим не загружается
  2. редактор реестра, диспетчер задач и пункт выполнить не работают
  3. запуск любых установочных файлов приводит к зависанию ПК
  4. проверка на вирусы не возможна, установленный антивирус не реагирует

В общем перепробовал оба варианта описанный мной раннее я пришел к мысли, что без LiveCD тут никак не обойтись.

Я постарался подобрать более менее толковый лайвсиди, чтобы не нужно было копаться в командной строке, но при этом все инструменты были в наличии.

Выбор пал на Lex Live CD 2009, хорошая сборка и все, что нужно для поднятия и проверки системы. Lex можно достать на торрентах и некоторых форумах, а если не найдёте — могу выложить на deposit.

На диске есть своё антивирусное обеспечение, но как и ожидалось проверки ничего не дали. Пришлось искать это дело вручную — для этого проверяем автозагрузку с помощью Autoruns , но и тут ничего не нашлось.

Я уж было стал подумывать о сносе windows, но решил проверить ещё кое что.

Так как у меня работал безопасный режим, но в нем вирус все равно работал также как и в обычном режиме я решил проверить общий ключ автозагрузки .

Подробнее, с помощью Лекс Сиди загружаемся и запускам редактор реестра, который идет на диске. Редактор реестра предложит Вам выбрать пользователя, выбирайте свой. Скриншоты у меня не сохранились, так как ноутбук не мой, но там ничего сложного.

Дальше проверяем вот эти ключи реестра:


Там тоже ничего лишнего, но я не зря сказал Вам о том, что безопасный режим у меня работал — следовательно, загружались настройки по умолчанию , а они находятся тут:

Вобщем подведу саммари:

  • Если ничего не помогает и безопасный режим не работает, Вам необходим хороший LiveCD
  • LiveCD должен обладать редактором реестра
  • Проверяйте все ключи автозагрузки — не только HKCU и HKLM, но и HKU
  • Меньше кликайте на всплывающих окнах и Никогда не отправляйте смски.


  • Пропал рабочий стол Windows , но появляется вместе со всеми папками и ярлыками, если загрузиться в Безопасном режиме. Как думаешь админ, в чём может быть дело? Мои проблемы начались с активного субботнего серфинга в интернете, искал образ диска с драйверами к своему ноутбуку (свой задевал куда-то). На одном из сайтов нашёл нужный образ, но решил открыть и посмотреть скришнот диска, расположенный уже на другом сайте – хостинге изображений. И в этот момент, вдруг всполошился мой антивирус и выдал предупреждение, что в папке C:\Users\Имя пользователя\AppData\Local\Temp находится вирус и очистка невозможна, затем компьютер завис, пришлось принудительно перезагрузить. После перезагрузки меня ожидал абсолютно пустой рабочий стол Windows, без папок и ярлыков, вместо моей постоянной заставки была другая, да ещё с таким изображением, лучше вам и не говорить. Пытался запустить Диспетчер задач, с помощью клавиатурного сочетания Ctrl+Alt+Del, но после него экран становится чёрным и так до бесконечности.
    Статьи ваши читаю давно, сразу попытался загрузиться в безопасный режим и удачно, там рабочий стол вместе с папками ярлыками на месте. К сожалению, восстановление системы применить не могу, оно у меня отключено. Запустил антивирусную утилиту Dr.Web CureIt и просканировал ей весь системный раздел C:, было найдено три вируса, далее загрузился в систему и что интересно, чужая заставка пропала, но рабочий стол по прежнему пустой. Есть у меня ещё наготове антивирусный диск спасения от NOD32, вот думаю, он и пригодился. Загрузился с диска, после полного сканирования был найден ещё один вирус, но при нормальной загрузке рабочий стол всё же не появился. Есть ли для меня ещё варианты, кроме переустановки Windows? Сергей.
  • Ещё письмо. Здравствуйте админ. Настраивал разрешение экрана, без малейшего понятия о том, как это делать и что-то видимо не так настроил, так как появилась проблема - пропал рабочий стол Windowsвместе с ярлыками, остался только фон рабочего стола. Как мне кажется проблема не в вирусах. Пробовал применить восстановление системы, но не помогло, надеюсь на вашу помощь. Борис.


Пропал рабочий стол Windows

  • Если ничего не поможет, обязательно попробуйте самый последний способ в этой статье, он так и называется Если ничего не помогло , он мне часто помогает при исчезновении рабочего стола.
  • Конечно, при заражении нашей операционной системы вирусом, нужно применять антивирусные лечащие утилиты, затем исправить реестр и производить восстановление системных файлов (это мы всё разберём), но можно решить проблему и более простым способом. Я уверен, если бы у нашего первого читателя было включено восстановление системы, которое прекрасно можно применить в безопасном режиме, то проблема была решена за пять минут. В первую очередь, в таких случаях, нужно вспоминать про восстановление, его придумали не просто так.


вводим в поле ввода explorer и ОК , должен появиться рабочий стол со всеми ярлыками и папками.


Именно файл Explorer.exe отвечает за запуск графической оболочки Windows,


представляющей из себя рабочий стол, меню пуск, панели инструментов и проводник. Если системный файл Explorer.exe не запустился вместе с операционной системой, значит и не запустится рабочий стол. Находится файл explorer.exe в папке C:\Windows.


Ровно в половине случаев проблема будет решена и при следующей загрузке вы увидите свой рабочий стол, далее можно проверить систему на вирусы. Кстати, можете сразу вызвать в Диспетчере задач восстановление системы - Файл -> Новая задача , вводим в поле ввода rstrui.exe , но это в Windows 7 и 8. В Windows XP нужно набрать %systemroot%\system32\restore\rstrui.exe



в большинстве случаев свой рабочий стол вы увидите. Применяем восстановление системы, откатываемся на день назад.


Если и в безопасном режиме также пустой рабочий стол, но восстановление системы у вас включено, тогда можно набрать Ctrl+Alt+Del, откроется Диспетчер задач, далее Файл -> Новая задача , вводим в поле ввода explorer.exe , появится рабочий стол или вводим сразу команду rstrui.exe , запустится восстановление системы, откатываемся назад и проверяем компьютер на вирусы. Ещё желательно провести восстановление системных файлов Windows.



Безопасный режим с поддержкой командной строки




откроется реестр. Если в безопасном режиме у вас тоже будет пустой рабочий стол, тогда попробуйте клавиатурное сочетание Ctrl+Alt+Del , откроется Диспетчер задач , далее Файл -> Новая задача , вводим в поле ввода regedit .



Значит вместо рабочего стола Windows у нас загрузится вирус 2lfg38m0.exe из папки временных файлов temp.


Если в это время нам удастся запустить диспетчер задач, то вместо системного процесса Explorer.exe мы увидим какой-либо вредоносный процесс, в нашем случае 2lfg38m0.exe .




Всё это нужно удалить и привести реестр в нормальный вид. Исправляем оба значения в реестре.


Смотрим ещё одну ветку реестра
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer , если присутствует параметр: NoDesktop , то значение у него должно быть 0 , но ни в коем случае не 1. И вообще параметр NoDesktop можно удалить.


По названию вируса 2lfg38m0.exe , произвожу поиск в реестре и нахожу ещё одно модифицированное значение. Ветка

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon \ в параметре Shell прописан полный путь к вирусному файлу
c:\users\Имя пользователя\appdata\local\temp\2lfg38m0.exe, удаляем всё это, здесь вообще ничего не должно быть.


Параметр Shell должен быть пустой



Значит, вам нужно войти в безопасный режим или безопасный режим с поддержкой командной строки и произвести восстановление системных файлов . Как это сделать?



Происходит проверка и восстановление системных файлов Windows, иногда система может попросить вставить в дисковод установочный диск Windows. Наш файл - Explorer.exe будет восстановлен.



Вот здесь внимание, многие пользователи при запуске утилиты совершают ошибку. Нажимаем CRTL+ALT+DEL, появляется диспетчер задач, жмём Файл-> Новая задача, в открывшемся поле набираем полный путь до файла avz.exe. К примеру у меня файл avz.exe находится в папке C:\Users\Имя пользователя\Desktop\avz4\avz.exe



Открывается главное окно программы


Обновляем утилиту AVZ. Файл –> обновление баз





Выставляем галочки на пункте 9. Удаление отладчиков системных процессов" и 16. Восстановление ключа запуска Explorer, далее нажимаем "Выполнить отмеченные операции".
Перезагрузка.




Если ничего не помогло


и набираем в ней – notepad , попадаем в Блокнот, далее Файл и Открыть.


Заходим в настоящий проводник, нажимаем Мой компьютер. Теперь нам нужен системный диск C:, внимание, буквы дисков здесь могут быть перепутаны, но системный диск C: я думаю вы сможете узнать по находящимся внутри системным папкам Windows и Program Files.


Идём в папку C:\Windows\System32\Config, здесь находятся действующие файлы реестра, указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack, в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра.


Так вот, мы с вами заменим действующие файлы реестра из папки Config резервными файлами реестра из папки RegBack.
Итак, первым делом удалим из папки C:\Windows\System32\Config файлы SAM , SECURITY , SOFTWARE , DEFAULT , SYSTEM , отвечающие за все кусты реестра,


а на их место скопируем и вставим файлы с такими же именами, но из резервной копии, то есть из папки RegBack.



Примечание: Все вместе файлы SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM удалить не получится, удаляйте их по одному. Затем копируйте на их место такие же файлы из папки RegBack.


Это конечно не вирус, а всего лишь капелька воды, но разговор у нас пойдет не о воде.

Способы в обоих случаях были примерно одинаковы, но требовали загрузки в безопасный режим. Сегодня я хотел бы рассказать о более продвинутом, хорошо продуманным вирусом-рекламой.

Вирус — программа преследующая собой цели получения данных о пользователе (трояны), размножение и внедрение своего кода в другие программы и контроль над персональным компьютером и т.п. (черви и прочая ерунда).

В данном конкретном случае мы имеем дело с программным вариантом рекламного спама на площадке клиента (определение моё кому не нравится можете оспаривать в комментариях), именно поэтому антивирусное обеспечение в очень редких случаях реагируют на них и правильно действуют в таких случаях.

С теорией пока хватит, теперь я расскажу об одном из тяжелых случаев заражения таким рекламным вирусом. Скорее всего написаны нашими, так как очень и очень продуман, расскажу симптомы:

  • запуск любого приложения моментально вызывает экранную заставку с тремя рекламными картинками (это или 3 прон картинки или реклама маек и т.п.)
  • безопасный режим или не запускается или работает в таком же режиме как обычный
  • редактор реестра не запускается ни в каком из вариантов
  • диспетчер задач не запускается также и комбинации Alt+F4, CTRL+ALT+DELETE, CTRL + ESCAPE и т.п. также эффекта не дают.
  • Вставка флешки с любым из установочных файлов любых антивирусов привод к стиранию инсталлятора последнего.

Вобщем не работает ни одна из тактик по обезвреживанию. Установить ничего нельзя, так как запуск установки вызывает полное зависание компьютера и моментальное появление рекламной заставки. Вот её скриншот:


Каждый запуск сайт меняется, так что отследить откуда это счастье Вам не удастся.

Сначала, в который раз повторюсь о том, чего делать не нужно:

  • не отправляйте СМС. Оно скорее всего Вам не поможет и стоить будет скорее всего больше чем запрашиваемая сумма
  • не пробуйте удалять папку Windows
  • обратитесь к профессионалу, если сами не можете справится, так как неправильное поведение может вызвать негативные последствия — например я слышал такой случай, что программа отформатировала винчестер низкоуровневым форматированием (не было записи даже про модель потом)

Теперь о том, что делать?

Подведу итог о состоянии ПК:

  1. безопасный режим не загружается
  2. редактор реестра, диспетчер задач и пункт выполнить не работают
  3. запуск любых установочных файлов приводит к зависанию ПК
  4. проверка на вирусы не возможна, установленный антивирус не реагирует

В общем перепробовал оба варианта описанный мной раннее я пришел к мысли, что без LiveCD тут никак не обойтись.

Я постарался подобрать более менее толковый лайвсиди, чтобы не нужно было копаться в командной строке, но при этом все инструменты были в наличии.

Выбор пал на Lex Live CD 2009, хорошая сборка и все, что нужно для поднятия и проверки системы. Lex можно достать на торрентах и некоторых форумах, а если не найдёте — могу выложить на deposit.

На диске есть своё антивирусное обеспечение, но как и ожидалось проверки ничего не дали. Пришлось искать это дело вручную — для этого проверяем автозагрузку с помощью Autoruns , но и тут ничего не нашлось.

Я уж было стал подумывать о сносе windows, но решил проверить ещё кое что.

Так как у меня работал безопасный режим, но в нем вирус все равно работал также как и в обычном режиме я решил проверить общий ключ автозагрузки .

Подробнее, с помощью Лекс Сиди загружаемся и запускам редактор реестра, который идет на диске. Редактор реестра предложит Вам выбрать пользователя, выбирайте свой. Скриншоты у меня не сохранились, так как ноутбук не мой, но там ничего сложного.

Дальше проверяем вот эти ключи реестра:


Там тоже ничего лишнего, но я не зря сказал Вам о том, что безопасный режим у меня работал — следовательно, загружались настройки по умолчанию , а они находятся тут:

Вобщем подведу саммари:

  • Если ничего не помогает и безопасный режим не работает, Вам необходим хороший LiveCD
  • LiveCD должен обладать редактором реестра
  • Проверяйте все ключи автозагрузки — не только HKCU и HKLM, но и HKU
  • Меньше кликайте на всплывающих окнах и Никогда не отправляйте смски.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.