[SolarSpark]

Добрый день.

Запускаем редактор реестра (набрать пуск-выполнить - regedit и нажать Enter) находим
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="путь_к_файлу"
если есть - удаляем параметр Shell

Затем ищем [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="путь_к_файлу"
и изменяем параметр на Explorer.exe

Важно! При редактировании реестра внимательно смотреть какой параметр Shell удалять, а какой править!

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2001', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteRepair(9);
ExecuteRepair(11);
RebootWindows(true);
end.

Приложите логи virusinfo_syscure.zip, virusinfo_syscheck.zip антивирусной утилиты AVZ версии 4.35 - базы обновите,
log.txt, info.txt от утилиты RSIT

[setwolk]

maniy77,
Спасибо приду домой, вечерком все сделаю, подскажите пож-ста согласно логу от AVZ там написано что у меня включен автозапуск, c$, а также IE хотя я его отключил в установке компонентов Windows, так как же он тогда работает?

[SolarSpark]

Цитата setwolk:

включен автозапуск »

у вас разрешен автозапуск программ с CDROM
что касается остального, делайте логи - все просмотрим, пролечим, закроем потенциальные уязвимости и откорректируем безопасность по вашему желанию
зловреды могут включать потенциально опасные службы Windows, разрешают отправку сообщения удаленному помощнику, блокируют реестр, диспечер задач..вобщем, надо смотреть логи

смените важные пароли!

[setwolk]

maniy77,
Вы говорите что поменять значение и смотреть какой именно Shell я удаляю, а какой правлю, но у меня он там один и так со значением explorer.exe
Видимо менять ничего не надо или надо?
В реестре было значение calc.exe я его поменял на taskmgr.exe, но теперь пишет вот такую ошибку http://rghost.ru/4242115/image.png
Как теперь вернуть диспетчер?

maniy77,
Выполнил данный скрипт, ноутбук все закрыл и ребутнулся, скажите для чего он и что он делает?

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Блокировка диспетчера задач
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Обнаружен отладчик системного процесса

Вот это все хочу исправить как это сделать?

Вот собственно лог http://exfile.ru/155776

[zirreX]

Скачайте AVZ v4.35 и подготовьте логи по правилам раздела


Скачайте RSITx64 или с зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[setwolk]

Вот новые логи http://rghost.ru/4243249

zirreX,
Лог Rsit выше

[zirreX]

Прикрепите логи virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG в AVZ.

Цитата setwolk:

zirreX, Лог Rsit выше »

Вы выложили лог hijackthis, нужны логи RSIT.
Прикрепите полученные логи log.txt и info.txt.

[SolarSpark]

Я вам не смогу помочь, если вы не выложите нужные мне логи.

Цитата setwolk:

В реестре было значение calc.exe я его поменял на taskmgr.exe »

что за самодеятельность? подробнее о том, где и чего меняли

Цитата setwolk:

но у меня он там один »

замечательно, так и должно быть

Цитата setwolk:

Выполнил данный скрипт, ноутбук все закрыл и ребутнулся, скажите для чего он и что он делает? »

скрипт исправлял вот это

Цитата setwolk:

Мастер поиска и устранения проблем >> Блокировка диспетчера задач >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME >> Обнаружен отладчик системного процесса »

Пожалуйста, выложите логи сюда (прикрепите к сообщению!) Не заливайте на обменники

[setwolk]

zirreX, maniy77,
Я сранительно не давно на этом форуме, поэтому хочу спросить, как к сообщению прикрепить логи?

И у меня вопрос, как это AVZ мне выдал лог в котором он пишет про IE если я его удалил как компонент windows?
Как его вапще удалить?