[Johnny123]

У меня WINDOWS 2000. Вируса нет. ( Я про вирус не хочу писать, а иначе и так будет много вопросов не по теме, но если вы про это спросите и посчитаете, что это важно, то я напишу и про вирус, но сейчас его вроде нет).  Проявляются ещё некоторые моменты, но я думаю это проявление того же " Блокнота", но может, я ошибаюсь. Я не хотел бы о них писать тут, чтобы не затруднять решение главной задачи, но опять же может быть я и не прав. Если заходишь на компьютер под одним пользователем, то свойства " Мой Компьютер", "Мое сетевое окружение" отрывается также через блокнот и вверху окна значок Блокнота и написано: rundll32.exe- Блокнот.
Если заходить  под другим пользователем то теже свойства указанных выше значков не отрываются, а появляется окно с надписью " Отказано в доступе к указанному устройству, пути или файлу".

[Blast]

А какие параметры есть в ветке HKEY_CLASSES_ROOT\*\

Добавлено:

Johnny123
Честно говоря мне в данном случае кажется более простым решением переустанока Windows? для начала поверх. Понимаю что это крайняя мера, но перелопачивать весь реестр не проще, да и нет уже уверенности что дело в реестре, может это какая вредностная dll например...
В принципе если есть желание можешь пройтись поиском по реестру на предмет notepad.exe и написать где нашлось (будет не мало), я в свою очередь сравню с тем что есть у меня, тогда и посмотрим.

[McDAK]

А также, на всякий случай, сделать:
Пуск --> Выполнить --> sfc /scannow

[Johnny123]

HKEY_CLASSES_ROOT\*\
следущие параметры:
(По умолчанию) *REG_SZ (Значение не присвоено)

AlwaysShowExt * REG_SZ

InfoTip * * * * * * * * REG_SZ
prop:Type;Author;Title;Subject;Comment;Size
*


Добавлено:

Ладно!!!!!!!!!!!
Попробую.



[s]Исправлено: Johnny123, 9:24 14-10-2004[/s]

Добавлено:

Переустановка поверх не удалась всё по-прежнему.
sfc /scannow - не возможно запускается Блокнот.
Преступаю к следующему пункту.

[Johnny123]

[HKEY_CLASSES_ROOT\.htm\OpenWithList\notepad.exe]

[HKEY_CLASSES_ROOT\.htm\OpenWithList\Блокнот\Shell\edit\command] @="c:\winnt\Notepad.exe %1"

[HKEY_CLASSES_ROOT\Applications\notepad.exe]

[HKEY_CLASSES_ROOT\Applications\notepad.exe\shell\edit\command] @="c:\WINNT\notepad.exe %1"

[HKEY_CLASSES_ROOT\Applications\notepad.exe\shell\open\command] @="%SystemRoot%\system32\NOTEPAD.EXE"

[HKEY_CLASSES_ROOT\Applications\notepad.exe\shell\print\command] @="%SystemRoot%\system32\NOTEPAD.EXE /p %1"

[HKEY_CLASSES_ROOT\Applications\notepad.exe\shell\printto\command] @="%SystemRoot%\system32\notepad.exe /pt "%1" "%2" "%3" "%4"

[HKEY_CLASSES_ROOT\batfile\shell\edit\command] @="%SystemRoot%\System32\NOTEPAD.EXE %1"

[HKEY_CLASSES_ROOT\batfile\shell\print\command]
@="SystemRoot%\System32\NOTEPAD.EXE /p %1"

[HKEY_CLASSES_ROOT\ChannelFile\Shell\Edit\Command] @="notepad.exe %1"

[HKEY_CLASSES_ROOT\cmdfile\shell\edit\command] @="%SystemRoot%\system32\NOTEPAD.EXE  %1

[HKEY_CLASSES_ROOT\cmdfile\shell\print\command] @="%SystemRoot%\system32\NOTEPAD.EXE /p %1

[HKEY_CLASSES_ROOT\dqyfile\Shell\Edit_Query_in_Notepad\command] @="notepad.exe "%1"

[HKEY_CLASSES_ROOT\inffile\shell\open\command] @="SystemRoot%\System32\NOTEPAD.EXE %1"

[HKEY_CLASSES_ROOT\inffile\shell\print\command] @="SystemRoot%\System32\NOTEPAD.EXE /p %1"

[HKEY_CLASSES_ROOT\inifile\shell\open\command] @="SystemRoot%\System32\NOTEPAD.EXE %1"

[HKEY_CLASSES_ROOT\inifile\shell\print\command] @="SystemRoot%\System32\NOTEPAD.EXE /p %1"

[HKEY_CLASSES_ROOT\iqyfile\Shell\Edit_Query_in_Notepad] @="notepad.exe "%1"

[HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command] @="SystemRoot%\System32\Notepad.exe %1"


[HKEY_CLASSES_ROOT\JSEFile\Shell\Print\Command] @="SystemRoot%\System32\Notepad.exe /p %1"

[HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command] @="SystemRoot%\System32\Notepad.exe %1"

[HKEY_CLASSES_ROOT\JSFile\Shell\Print\Command] @="SystemRoot%\System32\Notepad.exe /p %1"


[HKEY_CLASSES_ROOT\oqyfile\Shell\Edit_Query_in_Notepad\command] @="notepad.exe "%1"

[HKEY_CLASSES_ROOT\regfile\shell\edit\command] @="SystemRoot%\system32\NOTEPAD.EXE %1"


[HKEY_CLASSES_ROOT\regfile\shell\print\command] @="SystemRoot%\system32\NOTEPAD.EXE /p %1"

[cap]

Johnny123

а ты блокнот удалять не пробЫвал?

[Blast]

Johnny123
В целом криминала не вижу... всё как и у меня, правда у тебя гораздо меньше параметров где встречется notepad
Я исчерпал предположения, как по мне в данном конкретном случае стОит задуматься над переустановкой...

[Johnny123]

НЕТ! Продолжение следует, я просто не успел ещё всё отослать.  Вот вчера нашёл в этой ветке значение Блокнот и удалил его. И сразу  все EXE- файлы стали запускаться ….
Но на этой оптимистичной ноте придётся прерваться, снова появился «ОН». ОН этот самый вирус, который меня "Замучил" прошлый раз. Я думал его уже прибил, но он опять откуда-то прилетел. Может мне кто поможет. Дело в том, что я не могу получить о нём информацию на web сайте Symantec или Касперского. Стоит мне написать его имя этого вируса (backdoor nibu), как сразу «в доступе отказано» (ERROR The requested URL could not be retrieved While trying to retrieve the URL: http://www.symantec.ru/avcenter/venc...or.nibu.b.html
The following error was encountered:   Access Denied.
. Приходиться искать косвенными путями. Так я узнал, что это конкретно вирус по имени
Backdoor.Nibu.d. Случайно нашёл в ветке реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run . Следующие значение: "load32"="%System%\netda.exe". Посмотрел в Yandex-e и так узнал «ЕГО». Может мне кто пришлёт ответ как его прибить окончательно или нужны какие-то патчи, чтобы закрыть дыру. ВОТ адрес где все эти вирусы находятся, но я не могу ни один из них открыть, чтобы узнать про них как с ними бороться.
http://www.symantec.ru/region/jp/sar...a/index/b.html

[Blast]

Johnny123
Вот что удалось выяснить:
Где сидит:
%windir%\System32
Пуск - Выполнить - Автозагрузка
создает и загружает .dll, которая перехватывает ввод с клавиатуры. Имя, например *prntsvr.dll, но может быть и другим.
изменяет значение Shell с "explorer.exe" на "explorer.exe %System%\netdc.exe"
следит за окнами которые ты открываешь. Если в нем содержаться слова подобные этим:
Bank bank bull Bull cash ebay ePass Fethard fethard Fidelity gold iKobo mull PayPal storm webmoney WM Keeper + формы для авторизации, то вирус перехватывает клавиатурные нажатия и записывает их в лог-файл %Windir%\TEMP\fe43e701.htm
запускает процесс, который перехватывает данные из буфера обмена и записывает их в лог-файл %Windir%\TEMP\feff35a0.htm
переодически проверяет размер лог-файлов и, если они содержат достаточное к-во информации, отсылает на зашифрованые *e-mail адресса
добавляет следуйщие строки в файл %System%\Drivers\Etc\Hosts
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
это приводит к тому, что вы не сможете зайти на сайты, указаные выше.

Как избавится от вируса:

1. Исправить ключи реестра, которые модифицировал вирус:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
значение "load32"="%System%\netda.exe..."
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
меням значение Shell с "explorer.exe %System%\netdc.exe" на "explorer.exe"

2. нажимаем Пуск->Выполнить, вводим msconfig. Так как у тебя 2000, то msconfig отсутствует, но прекрасно подходит msconfig от XP? Который можешь скачать здесь:
http://www.blastpass.nm.ru/msconfig.exe
помести его в WINNT (или в System32…)
в открывшемся окне нажимаем на вкладку "Автозагрузка"и снимаем с автозагрузки файл netdb.exe
Либо просто пройдись по реестру поиском с запросом netd* и поудаляй что найдется.

3. Ищем и удаляем с диска файлы
netda.exe
netdb.exe
netdc.exe
4. Находим на диске файл hosts и открываем его блокнотом, удаляем все строки кроме 127.0.0.1 localhost

[Johnny123]

Спасибо!!!!!!
Приступаю к действию.........