Не запускаются программы
 

Ни с того ни с сего на моём домашнем WinXP перестали запускаться любые программы. При попытке чего либо запустить следует сообщение: Windows cannot find c:\Program files\....exe (вместо точек имя запускаемого файла)
В safe mode та же ерунда... Совсем не соображу что делать :idontnow:
:help: :help: :help:

micgelly2

А ты с атрибутами папок и правами на них ничего не делал ?

Да нет. Едиственное что возможно было так это удаление файла D:\WINDOWS\windbg.exe по причине наличия в нем Trojan.Win32.Agent.at. После этого начились проблемы. XP английская.

micgelly2

WinDBG.exe это Windows Kernel Debugger и удаление его не могло ничего с запуском программам сделать , Trojan.Win32.Agent.at. - троян кейлоггер и он тоже ничего не мог сделать.Посмотри все-таки вручную атрибуты и права папки Program files и вложенных в нее . Кстати у тебя другие exe'шники запускаются ?

Про дебаггер я в курсе, потому и без раздумий удалил. Вот что обнаружилось: Забросил в C:\Windows стертый дебаггер windbg.exe (но проверенный без вируса). Теперь при попытки запуска программ идет вызов этого дебаггера. Насколько я понял где-то прописан перехват. Только вот где?

скорей всего в регистре. Запускай regedit и ищи windbg.exe. Если не поможет, то запускай поиск по всем файлам на харде, которые содержат windbg.exe

Объясняю ещё раз. Все попытки запустить *.exe ведут к запуску c:\windows\windbg.exe *.exe.
Я сейчас с трудом запустил FAR скопировав его в c:\windows и переименовав в windbg.exe
А как добраться до реестра? Такое же переименование не прокатывает. regedit поддерживает коммандную строку и в результате он пытается сразу внести в реестр параметр.

micgelly2

Создай копию explorer.exe с названием windbg.exe , а потом произведи запуск regedit.exe. Я у себя попробовал - все получилось.

micgelly2
Перегрузись в безопасной моде и попробуй почитать журналы. Мож там будет чего полезное.
Попробуй также переназначить разрешения по умолчанию. Описание того, как это сделать, есть в справке к консоли "Локальная политика безопасности" (которая в панели управления/администрирование)

Всё это - типично при заражении вирусом. Смотри процессы, убивай всё что шевелится, попутно пробуя запуск экзешников. Кстати, такая беда только с файлами из "Program files"?

micgelly2
Посмотри, что у тебя в реестре тут: HKEY_CLASSES_ROOT\.exe и тут: HKEY_CLASSES_ROOT\exefile\shell\open\command ?

Ок. Только как в реестр залезть. Regedit.exe запустить НЕЛЬЗЯ! :idontnow:

micgelly2
Вот совсем недавно слышала про такой же случай: нашелся вирус в файле startpage.exe (странный файл, у меня такого нет) и после лечения Dr.WEB'ом перестали запускаться все EXE и надпись такая же появлялась. Удалось восстановить систему через перезагрузку + F8 (с Винды восстановление не запускалось), но точка восстановления была свежая и с файлом опять было что-то не то. Зато система заработала и можно было сохранить нужные архивы. Хотя всё равно кончилось переустановкой.
1) У тебя случайно не Dr.WEB?
2) Попробуй найти старую точку восстановления, может поможет.
Точнее описать не могу - сама не видела, всё это знаю с чужих слов.

В том то и беда что точек восстановления нет. Октключено.

All
Блин, заканчивайте тольчь воду в ступе!
Всё, что можно сказать о борьбе с вирусами - уже сказано http://www.imho.ws/showthread.php?t=44122
http://www.imho.ws/showthread.php?t=45835 .
От того, что информация будет повторена ещё пару раз - методов борьбы не прибавится!!!

Borland
Видимо ты знаешь способ как с справится с проблеммой раз отсылаешь туда почитать. Только там ответа я не нашел.

С большим трудом но решение было найдено, но поскольку Borland считает что это вода в ступе я умолкаю. А кому интересно просьба в приват.

micgelly2
Вот ссылка непосредственно на пост. Обратите внимание на Цветом выделено от меня... Этот же файлик можно получить экспортом на чистой машине веток реестра [HKCR\exefile],[HKCR\comfile], {HKCR\batfile]. А можно и просто руками заменить все вхождения в реестре "зараза.exe %1" на "%1"
Если Твоё решение сильно отличается от этого и его нет в указанных топиках - милости просим, публикуй. Но за повтор в данном конкретном случае буду бить ногами. dixi.

Решение проще простого. Regedit.exe переименовывается в Regedit.com и далее свободно копаемся в реестре.

2Borland
А что это у меня за статус нарисовался - "давно пора выгнать"?

Нормальный вирус, как правило, вешается на все исполнимые файлы. На .com - тоже.
"Копаемся в реестре" - это, конечно, здорово. Но решение подходит только для тех, кто хорошо знает реестр - иначе лекарство окажется хуже болезни. Твоё решение - частный случай моего:К тому же - менее подробное. Я предупреждал, что буду пинать? Пинаю. 2 очка за повтор
[offtopic]Смотри в Панели управления за что тебе навесили отрицательной кармы. И если подписались - кто навесил. И, видимо, ещё не раз навесят...[/offtopic]