[HELP!!!] Вирус что-то замутил с файловыми ассоциациями
вообще, самому на второй вопрос приходят два варианта ответа:
1) создать .reg файл, чтобы кликнув по нему, вызвать regedit, но он только пытается выполнить команду, а своего окошка не показывает.
В принципе, этого достаточно, чтобы что-то изменить в реестре, но только без него не видно, что и где менять
2) могу написать, например, на WSH, но опять-таки та же проблема - не знаю, что и где менять.
1) создать .reg файл, чтобы кликнув по нему, вызвать regedit, но он только пытается выполнить команду, а своего окошка не показывает.
В принципе, этого достаточно, чтобы что-то изменить в реестре, но только без него не видно, что и где менять
2) могу написать, например, на WSH, но опять-таки та же проблема - не знаю, что и где менять.
В общем, чтобы хоть что-то запустить, пришлось вернуть вирус обратно 
Зато запустился regedit - нашёл такую вот штуку:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command и тут ключик slass.exe "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas\command тут тоже самое ключик со значением slass.exe "%1" %*
Посмотрите, плиззз, кто-нибудь, что здесь по-нормальному должно быть?
Зато запустился regedit - нашёл такую вот штуку:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command и тут ключик slass.exe "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas\command тут тоже самое ключик со значением slass.exe "%1" %*
Посмотрите, плиззз, кто-нибудь, что здесь по-нормальному должно быть?
Таких веток вообще нет - есть HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ .exe \shell
Значение не присвоено там. После shell продолжения у ветки нет.
Значение не присвоено там. После shell продолжения у ветки нет.
о, спасибо
а до куда веток нет?
в смысле, начиная откуда мне её удалить? от HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile ?
а до куда веток нет?
в смысле, начиная откуда мне её удалить? от HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile ?
Ты не видишь разницы ? В оригинале не \Classes\exefilе, а \Classes\.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\shell - вот вся ветка.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\shell - вот вся ветка.
кстати, у меня в HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe ещё есть HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler - это нормально?
блин, у меня есть и то, что ты написал, и то, что я написал
вот и пытаюсь выяснить, начиная, откуда мне нужно удалить левую ветку
вот и пытаюсь выяснить, начиная, откуда мне нужно удалить левую ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler - нормально.
теперь понятно, что начиная с \exefilе 
ага, огромное спасибо - сейчас ещё раз попробую всё поудалять
удалил HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile - теперь у всех exe'шников пропали иконки и при клике на них они начинают скачиваться JDownloader'ом 
Почему начинают скачиваться, понятно - он просто зарегистрирован в реестре на .*
Но вот почему они не запускаются не понятно
Вот экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe:
Запостите кто-нить, плиззз, экспорт этой ветки у себя...
Почему начинают скачиваться, понятно - он просто зарегистрирован в реестре на .*
Но вот почему они не запускаются не понятно
Вот экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
Запостите кто-нить, плиззз, экспорт этой ветки у себя...
Слышь, не удаляй блин!
Если у кого-то там чего-то нет, это не значит, что и у тебя не должно быть!
Скажем, у меня эти ветки есть, и там везде в command прописано Default REG_SZ "%1" %*
Лучше замени свой slass.exe на то, что я написал.
Если у кого-то там чего-то нет, это не значит, что и у тебя не должно быть!
Скажем, у меня эти ветки есть, и там везде в command прописано Default REG_SZ "%1" %*
Лучше замени свой slass.exe на то, что я написал.
Бля, не успел.
Запостите кто-нить, плиззз, экспорт этой ветки у себя...Да все нормально у тебя с этой веткой, нахрен было слушать непонятно(
а я экспортнул перед тем, как удалять
спасибо, сейчас обратно восстановлю и подредактирую
кстати, заметил интересную вещь - он не даёт запустить FxSasser.exe 
правда, только что скаченный и переименованный FxSasser.exe всё-таки запустился, но ничего не нашёл...
З.Ы.:
блин, уже два часа с ним вожусь
правда, только что скаченный и переименованный FxSasser.exe всё-таки запустился, но ничего не нашёл...
З.Ы.:
блин, уже два часа с ним вожусь
Че б тебе не полечить свой винт на другом компе?
это ноут - развинчивать не охото...
Мб есть какой-нить LiveCD с виндой с предустановленным антивирусом. Правда я про виндовые LiveCD ничего слыхом не слыхивал.
о, отлично - иконки вернулись на место, программы запускаются и причём, наконец-то, запускаются не в свёрнутом виде 
кстати, посмотрел дату создания и нашёл ещё 8(!) дллек и один .ocx с той же датой создания - всё-таки VB - это крута программы, написанные на нём, в одиночку не ходят
ещё обнаружил, что он вёл какие-то логи на диске и пытался открыть порт....
эх, если б не время, то можно было бы поискать какой-нить декомпилятор и посмотреть, чего он вообще делает, а главное - как передаётся
в общем, ещё раз всем огромное спасибо
кстати, посмотрел дату создания и нашёл ещё 8(!) дллек и один .ocx с той же датой создания - всё-таки VB - это крута
программы, написанные на нём, в одиночку не ходят ещё обнаружил, что он вёл какие-то логи на диске и пытался открыть порт....
эх, если б не время, то можно было бы поискать какой-нить декомпилятор и посмотреть, чего он вообще делает, а главное - как передаётся
в общем, ещё раз всем огромное спасибо
кстати, забавно, логи - это, оказывается, всё, что я набирал на клавиатуре, но только в английской раскладке
то есть, например, вместо логи там записывалось kjub нашёл там всё, что сейчас постил на форуме....
то есть, например, вместо логи там записывалось kjub
нашёл там всё, что сейчас постил на форуме....Интересно, кому он все это отправил
надеюсь, что никому
сейчас чищу реестр - нашёл его в списке забаненных штатным фаерволом винды
видимо, когда-то давно винда меня спросила, разрешать ли соединение, и я на автомате запретил....
сейчас чищу реестр - нашёл его в списке забаненных штатным фаерволом винды
видимо, когда-то давно винда меня спросила, разрешать ли соединение, и я на автомате запретил....
ещё, кстати, хорошо, что на почту всегда захожу, кликая по ссылке в панеле, а не набирая адрес - в логах не видно, куда логинился
скачай с касперского clrav.com — он тебе все починит как надо
Оставить комментарий
ifani
Уже пару недель замечал, что что-то с компом не так - приложения запускаются свёрнутыми (даже когда-то тут спрашивал насчёт этого). При этом дрВеб ни фига не находил (обновляю из сетки каждый день).Сейчас решил-таки поискать и нашёл его (офигеть, на vb написан - он ещё и dll'ку свою с собой притащил
Удалить не получилось, но зато дал себя переименовать - и теперь, блин, хрен запустишь программы
То есть кликаю на ярлык или саму программу и выскакивает окошко, типа, чем открыть этот файл. В связи с этим два вопроса:
1) Где-то в реестре, вроде, прописывается, какой расширение чем открывать - в какой ветке это находится, и есть ли там запись для exe'шников?
2) Как залесть в реестр, если regedit, как и остальные exe'шники, тоже не запускается?