Имя пользователя:
Пароль:
 

Показать сообщение отдельно

Пользователь


Сообщения: 58
Благодарности: 14

Профиль | Отправить PM | Цитировать


Посмотри, может все банально просто – у тебя взломанный проводник.

Смотри здесь:
>>>>>>>>>>>>>>


Бывают случаи, когда Проводника Windows подменяется взломанным. Антивирусы не всегда это определяют.

Официальное местожительство Проводника Windows папка C:\Windows\explorer.exe.

А бывает, заводится ее один explorer.exe в папке C:\Windows\System32.

В папке C:\Windows\System32 файла explorer.exe быть не должно, и если он там есть, то это вирус.

Хакеры часто помещают взломанный explorer.exe в папку C:\Windows\System32, а так же в ключе реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache изменяют параметры проводника с "C:\\Windows\\Explorer.exe"="Проводник" на "C:\\Windows\\System32\\explorer.exe"="Проводник".

Вирусу не нужен и автозапуск, он автоматически будет грузиться при любом запуске проводника.

Тогда при запуске Windows будет грузиться нормальный проводник, из папки C:\Windows, но при открытии любой папки, будет грузить взломанный проводник из папки C:\Windows\System32.

И если взломанный explorer.exe сильно не соответствует вашей версии Windows, то вы и получаете крах, перезапуск проводника.

Что бы проводник перезапускался автоматически, в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр AutoRestartShell должен быть равен 1.

Команда sfc/scannow не будет проверять файл проводника explorer.exe по адресу C:\Windows\System32, так как его там быть не должно.


Примечание. А вот если бы хакеры изменили файл проводника explorer.exe по адресу C:\Windows, то команда sfc /scannow быстро его восстановила.
Ключ реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache команда sfc/scannow также не проверяет.



Команды Dism /Online /Cleanup-Image /RestoreHealth (для Windows 8, 8.1, 10) и DISM.exe /Online /Cleanup-image /ScanHealth (для Windows 7) тоже не помогут по аналогичной причине.

Если вирус, замаскированный под проводник, еще не известен антивирусу, или играет не основную, а какую-нибудь дополнительную роль, то, вполне вероятно, что антивирус его тоже не заметит.

Так что удалять его надо вручную.

Для этого:
1. Удаляем файл explorer.exe в папке C:\Windows\System32
2. Исправляем параметр ключа реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache с C:\Windows\System32\explorer.exe на C:\Windows\explorer.exe
3. Запускаем команды Dism /Online … и sfc/scannow - они восстановят файл explorer.exe и все его компоненты в папке C:\Windows

P.S. Аналогично видел вирус, маскирующийся под редактор реестра regedit.exe.
Так же располагают его в папке C:\Windows\System32, где его быть не должно (его местожительство папка C:\Windows), и аналогично меняют параметр ключа реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache с C:\Windows\regedit.exe на C:\Windows\System32\regedit.exe.
Лечение аналогичное:
1. Удалить файл regedit.exe в папке C:\Windows\System32 (проверить, что бы regedit.exe был в папке C:\Windows, а то так можно остаться и без редактора реестра)
2. Поправить параметры ключа реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache с C:\Windows\System32\regedit.exe на C:\Windows\regedit.exe
3. Команды Dism /Online … и sfc/scannow - восстановят файл regedit.exe в папке C:\Windows.


Отправлено: 20:19, 07-12-2016 | #1420