Здравствуйте.
А ваши пользователи случайно не с правами “локального администратора” работают? Может если бы у них не было таких прав, последствия были бы по-легче?

Пользователи работаю с правами Domain Users. И этих прав достаточно чтобы запустить EXE файл и внести правку в реест.

Грохнул такой используя ERD всётаки им проще и быстрее чем через телнет ковыряться.Ну а вообще смешной вирус, клиент когда принёс даже не знал что мне сказать))

Хм… С такими правами можно изменять только свою ветку (HKCU). HKLM доступна только для чтения. Посмотрите разрешения на ветки в regedit.

Ставили и на 3 месяца и вперед и назад, и на два года вперед ставили, одна херня! Удалили с помощью какой-то утилиты – она типа винды, но устанавливается в оперативную память за две минуты. файл вируса прям на рабочем столе был! все удалили, теперь на рабочем столе одна картинка, значков нет, пуск не работает, диспетчер задач отключен. Ищу варианты исправления ситуации)))

нужно восстанвоить ключ (HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon\) Shell в исходное состояние. Вместо пути к вирусу, там должен быть путь к вайлу explorer.exe. В моем случае C:\windows\explorer.exe. И все будет работать.

так все же расскажите как простому юзеру свалить этот вирус? тело вируса удалил с компа друга. теперь имею пустой рабочий стол, где ни чего не работает…

[img]https://s50.radikal.ru/i127/1006/a7/d5d68c220e56.jpg[/img]

[b]О Dr.Web CureIt![/b]

На Вашем ПК установлен другой антивирус, но вы сомневаетесь в его эффективности?

С помощью утилиты Dr.Web CureIt! без установки Dr.Web в системе Вы можете быстро проверить Ваш компьютер, и, в случае обнаружения вредоносных объектов, вылечить его.

[b]Как выяснить, инфицирован ли Ваш компьютер?[/b]

1. Скачайте Dr.Web CureIt!, сохранив утилиту на жесткий диск.
2. Запустите сохраненный файл на исполнение (дважды щелкните по нему левой кнопкой мышки).
3. Дождитесь окончания сканирования и изучите отчет о проверке. Вам нужны другие доказательства?:)

[b]Преимущества Dr.Web CureIt![/b]

Незаменимое средство для лечения персональных компьютеров и серверов под управлением MS Windows 95OSR2/98/Me/NT 4.0/2000/XP/2003/Vista/2008/Windows 7 от вирусов, руткитов, троянских программ, шпионского ПО и разного рода вредоносных объектов, которые не «увидел» Ваш антивирус.

* [color=Red]Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя. [/color]

[b]Как использовать Dr.Web CureIt!?[/b]

Загрузите Dr.Web CureIt!, запустите на исполнение и в открывшемся окне нажмите кнопку «Пуск». На запрос подтвердите запуск проверки и дождитесь результатов сканирования памяти компьютера и файлов автозапуска. Если необходимо просканировать все или некоторые диски компьютера, выберите режим полной или выборочной проверки (в последнем случае выделите требуемые объекты для проверки) и нажмите кнопку «Начать проверку» у правого края окна сканера.

При сканировании зараженные файлы будут излечены, а неизлечимые – перемещены в карантин. По окончании проверки остаются доступны файл отчета и сам карантин.

По окончании сканирования просто удалите файл Dr.Web CureIt! с Вашего ПК.

https://letitbit.net/download/9113.9539158a67d0c64f0f83a2ddf/drweb.cureit.exe.html

Код там забавный :))
“Нет гомосекам”

Огромнейшее спосибо за помощь! Только воспользовался не Telnet`ом, а LiveCD и сразу же пошел в реестр компа на HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon в Shell увидел этот файл video_13796.avi.exe и где он прячется на жестком, удалив, и восстановив ключ C:\windows\explorer.exe все заработало. Порномодуль был удален. Против каждого действия, есть противодействие.

Порномодуль… Слова-то какие. “Порномодуль” на месте, а ветку вы изменили, конечно. Админу спасибо, но с ERD реально быстрее. Старая проверенная вещь…

Спасибо JS за подсказку. сегодня исправил такую гадость с помощью LiveCD. но в реестре надо вместо C:\windows\explorer.exe написать explorer.exe.
файл был на рабочем. назывался Vipporno-цифры-avi.exe

Пасибо! помог код “головяшка”

Расскажите, пожалуйста, подробнее как в этой ситуации вернуть работу рабочего стола. У меня все тоже самое и рабочий стол работает только через диспетчер задач, я не понимаю что нужно делать с explorer.exe я не умею с этим реестром работать, ничег в нем не понимаю, можно пошагово, пожалуйста

У меня того как появился этот баннер запустился диспетсер задач, там я сделала выход из системы и после этого перезагрузила компьютер. А рабочий стол голбубой, мышь на нем не работает, ярлыков нет. Работаю только через диспетчер. Cureit вирусов не нашел. я не умею пользоваться этим реестром. пожалуйста, расскажите пожалуйста пошагово что где в нре менять.

да уж..позабавился я скодами……
https://support.kaspersky.ru/viruses/deblocker
тут номер вбиваете и выходит полно кодов! подошел самый первый по списку…..жалко только начал проверять с конца…)))

Справилась. Сначала: если этот блокировщик появился, нажимаем ctrl-alt-delete в правом нижнем углу снять задачу, даже если блокировщик не дает вызвать диспетчер задач, буквально на секунду он появляется, повызывайте несколько раз, разглядите местоположение кнопки “снять задачу”, наведите на эо место мышку, а потом снова нажмите ctrl-alt-delete и одновременно кликните мышкой на то место, где снять задачу. Баннер уйдет, но…

голубой экран останется. Через диспетчер задач выходим в интернет и скачиваем cureit (доктор веб), запускаем сканирование, по идее он должен найти вирус, ставим лечить и все приходит в норму. Но у меня не обнаружил, поэтому, как указал автор, идем в Shell

огромное спасибо, очень помог!!!

Спасибо помогло!
Как делал:
Загрузился с livecd windowsXP удалил файл вируса, он оказался файлом на рабочем столе с именем vip_porno_(буквыцифры).avi.exe нашел его поиском по дате – снес его

После перезагрузился, загрузка дальше рабочего стола не идет,никакие сочетания клавиш не работают.
ctrl+alt+del в том числе, говорит отключено администратором.
необходимо запустить regedit, и изменить запись в реестре.
Запустил regedit c помощью мастера нового оборудования, каким образом, нажав далее, затем обзор, правой кнопкой мыши по папке по любой папке нажал проводник(либо обзор) далее в папку C:\windows\regedit.exe
запускаем

HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon в Shell меняем путькфалу\video_13796.avi.exe на C:\windows\explorer.exe

появится рабочий стол, панель задач
но некоторые функцие такие как Диспетчер задач будет откллючен
необходимо зайти в regedit

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System];

Для выключения: “DisableTaskMgr”=dword:00000001;
Для включения: “DisableTaskMgr”=dword:00000000.

всем спасибо за помощь!!!”