Пользователь
Сообщения: 58
Благодарности: 14
|
Профиль
|
Отправить PM
| Цитировать
Посмотри, может все банально просто – у тебя взломанный проводник.
Смотри здесь:
>>>>>>>>>>>>>>
Бывают случаи, когда Проводника Windows подменяется взломанным. Антивирусы не всегда это определяют.
Официальное местожительство Проводника Windows папка C:\Windows\explorer.exe.
А бывает, заводится ее один explorer.exe в папке C:\Windows\System32.
В папке C:\Windows\System32 файла explorer.exe быть не должно, и если он там есть, то это вирус.
Хакеры часто помещают взломанный explorer.exe в папку C:\Windows\System32, а так же в ключе реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache изменяют параметры проводника с "C:\\Windows\\Explorer.exe"="Проводник" на "C:\\Windows\\System32\\explorer.exe"="Проводник".
Вирусу не нужен и автозапуск, он автоматически будет грузиться при любом запуске проводника.
Тогда при запуске Windows будет грузиться нормальный проводник, из папки C:\Windows, но при открытии любой папки, будет грузить взломанный проводник из папки C:\Windows\System32.
И если взломанный explorer.exe сильно не соответствует вашей версии Windows, то вы и получаете крах, перезапуск проводника.
Что бы проводник перезапускался автоматически, в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр AutoRestartShell должен быть равен 1.
Команда sfc/scannow не будет проверять файл проводника explorer.exe по адресу C:\Windows\System32, так как его там быть не должно.
Примечание. А вот если бы хакеры изменили файл проводника explorer.exe по адресу C:\Windows, то команда sfc /scannow быстро его восстановила.
Ключ реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache команда sfc/scannow также не проверяет.
Команды Dism /Online /Cleanup-Image /RestoreHealth (для Windows 8, 8.1, 10) и DISM.exe /Online /Cleanup-image /ScanHealth (для Windows 7) тоже не помогут по аналогичной причине.
Если вирус, замаскированный под проводник, еще не известен антивирусу, или играет не основную, а какую-нибудь дополнительную роль, то, вполне вероятно, что антивирус его тоже не заметит.
Так что удалять его надо вручную.
Для этого:
1. Удаляем файл explorer.exe в папке C:\Windows\System32
2. Исправляем параметр ключа реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache с C:\Windows\System32\explorer.exe на C:\Windows\explorer.exe
3. Запускаем команды Dism /Online … и sfc/scannow - они восстановят файл explorer.exe и все его компоненты в папке C:\Windows
P.S. Аналогично видел вирус, маскирующийся под редактор реестра regedit.exe.
Так же располагают его в папке C:\Windows\System32, где его быть не должно (его местожительство папка C:\Windows), и аналогично меняют параметр ключа реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache с C:\Windows\regedit.exe на C:\Windows\System32\regedit.exe.
Лечение аналогичное:
1. Удалить файл regedit.exe в папке C:\Windows\System32 (проверить, что бы regedit.exe был в папке C:\Windows, а то так можно остаться и без редактора реестра)
2. Поправить параметры ключа реестра HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache с C:\Windows\System32\regedit.exe на C:\Windows\regedit.exe
3. Команды Dism /Online … и sfc/scannow - восстановят файл regedit.exe в папке C:\Windows.
|
Отправлено: 20:19, 07-12-2016
| #1420
|