Здравствуйте!
"
Актуальной в сентябре стала и тема лже-антивирусов. Данные программы устанавливаются на систему и проявляют свою активность в виде демонстрации на рабочем столе сообщения о якобы найденном вирусе, для удаления которого из системы предлагают пользователю совершить определённые действия - скачать полную версию данной "антивирусной" программы и т.д. Данный вирус, как правило, отличается способностью отключать некоторые вкладки стандартного окна Windows, отвечающего за смену изображения на Рабочем столе - сообщение о "заражении" выводятся с помощью изменения данного изображения. По классификации Dr.Web данный вирус получил название Trojan.Fakealert.
"
Взято -
http://www.itsec.ru/newstext.php?news_id=50291Отсюда вывод - CureIt! должен лечить
То что я копировал из инета для себя (склероз однако
) в качестве напоминалки как лечить возможные проблемы из-за этой бяки:
"
пропали закладки "Фон","Заставка"
FAQs - Soft - Microsoft Windows XP
Пуск - Выполнить - regedit и ищи:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ System если параметр имеет равен 1, то команда запрещена, 0 - разрешена, то есть для разрешения для всех параметров DWORD=1
NoDispCPL - диалог Свойства: Экран недоступен NoDispBackgroundPage - в диалоге Свойства: Экран закладка Фон недоступна NoDispScrSavPage - в диалоге Свойства: Экран закладка Заставка недоступна NoDispAppearancePage - в диалоге Свойства: Экран закладка Оформление недоступна NoDispSettingsPage - в диалоге Свойства: Экран закладка Настройка недоступна
НЕТ Показки скрытых файлов
FAR работает из под виндовса, который просто эмулирует дос, это раз.
ТоталКомандер видиит скрытые файлы и папки, как и любой хороший файловый манагер, просто надо поставить галочку в его настройках, это два.
Делать это через АСД See это изврат =), у тех кто через него не видит, означает, что либо нету, либо настройка отображения не включена (если есть такая, я - хз), это три.
Делать надо так
Вирус распространяет сво тело в корень всех локальных дисков и носителей информации, используя Autorun.inf, который запускает вирус при двойном клике на инфицированном диске. Файл скрытый. Так же вирус внедряет троян в систему и правит реестр, делая невозможным отображение скрытых файлов. При этом он не просто изменяет значение ключа HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Hidden=dword:00000001
и
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue=dword:00000001
но меняет и тип ключа с Параметр DWORD на Строковый параметр
делая невозможным его редактирование стандартными средствами и блокируя изменения через СервисСвойства папкиВид.
Лечение:
Удаляем все файлы вируса (2ifetri.cmd, amvo.exe amvo0.dll и т.д.) - как, смотри выше в реальной инструкции и файл Autorun.inf удаляем ручками через поиск или в хорошем тоталкомандаре, перезагружаем компьютер.
В regedit удаляем неправельные ключи типа Строковый параметр
Hidden=0
CheckedValue=0
и создам новые типа Параметр DWORD
Hidden=dword:00000001
CheckedValue=dword:00000001
в приведнных выше ветках.
Автор ответа: SkiF (н)
Размещено: 26.06.2008 17:09
Заходит в меню ПУСК/ВЫПОЛНИТЬ, а дальше прописываем: regsvr32 /i shell32.dll и все работает!
"
"
У меня был случай, когда и реестр с помощью regedit не редактировался, писал, что изменение реестра запрещено администратором системы. (Это, кстати последствия вируса BackDoor.Generic.1138 - рекомендую сначала полную проверку всех дисков на вирусы). Для этого нужно скачать любой другой редактор реестра, например, Vilma Registry Explorer
http://www.vsft.com/cgi-bin/redirect?3001. С помощью этого редактора теперь можно поменять вышеупомянутые значения в реестре. И можно разблокировать regedit: HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Policies\\System DisableRegistryTools REG_DWORD - 0 (если стоит 1 - это \"Запрещение команды \"редактирование реестра\"). Удачи всем...
Отвечает mogl:
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\ -NoCustomizeWebView - REG_DWORD стоит 0. Тем не менее, не помогает!!! Что делать?
Отвечает SaNder:
2Perepel: спасибо за инфу, т.к. сам пострадал от него.
Отвечает Глеб.:
Спасибо Вам Ребята. Тоже схватил BackDoor.Generic.1138... От вируса избавился, а вот свойства папки пропало. Так непривычно было видеть окно папки по другому, уже на формат С хотел идти. Но я хотел сказать что я исправил в: HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Policies\\Explorer\\NoFolderOptions. Поставил 0 А так спасибо
"
С Уважением, Сергей К.
